Microsoft Office Sıfır Gün Açığı PowerShell Çalıştırmak İçin Kötüye Kullanıldı
27 Mayıs 2022 tarihinde, Nao_Sec (1) tarafından Microsoft Office'te sıfır gün uzaktan kod çalıştırma hatası keşfedildi ve araştırmacı Kevin Beaumont tarafından "Follina" olarak adlandırıldı. Bu güvenlik açığı, kimliği doğrulanmamış bir kişinin indirilen Microsoft Office dosyalarından yararlanarak kalıcı erişim elde etmesine ve bir hedef sistemi uzaktan kontrol etmesine olanak tanır. Hackerlar, Office makroları devre dışı bırakılmış olsa bile Microsoft Diagnostic Tool (MSDT) aracılığıyla kötü amaçlı PowerShell komutlarını yürütmek için kullanabilir.
Araştırmacı Kevin Beaumont, "Belge, uzak bir web sunucusundan bir HTML dosyası almak için Word uzak şablon özelliğini kullanıyor ve bu da bazı kodları yüklemek ve bazı PowerShell'leri çalıştırmak için ms-msdt MSProtocol URI şemasını kullanıyor" dedi. "Bu mümkün olmamalı." (2)
30 Mayıs 2022 tarihinde Microsoft CVE-2022-30190'ı yayınladı. Microsoft Office'in 2013, 2016, 2019 ve 2021 sürümlerinin yanı sıra Professional Plus sürümleri de etkilenmiştir. Ancak, 1 Haziran 2022 itibariyle herhangi bir yama mevcut değildir.
Bu blog yazısında, kötü amaçlı yazılım örneğini analiz ediyor ve saldırılara karşı kendinizi nasıl koruyacağınızı gösteriyoruz.
CVE-2022-30190'ı Kötüye Kullanan Saldırıya Genel Bakış
Örneği analiz ederek, saldırı yaklaşımının yeni olmadığını gördük. Tehdit yazarı, Eylül 2021'de CVE-2021-40444'ten yararlanan kampanya ile benzer bir saldırı vektörü kullanmıştır. Her iki saldırıda da kötü niyetli bir HTML dosyasına yönlendiren bir ilişki dosyasında harici bir bağlantı kullanıldı.
Siber suçlular, kimlik avı veya sosyal mühendislik kullanarak hedef kurbanlara silahlandırılmış bir Microsoft Word dosyası (.docx) göndermiş ve onları bu dosyayı açmaları için kandırmıştır. Dosya, alışılmadık bir JavaScript koduna sahip bir HTML'ye referans veren harici bir URL içermektedir.
Bu JavaScript, uzaktaki bir kodu çalıştırabilecek ms-msdt: şemasına sahip bir URL'ye başvurur.
Saldırı Nasıl Önlenir
30 Mayıs 2022'de Microsoft, kullanıcıların yeni ortaya çıkan güvenlik açığını azaltmalarına yardımcı olmak için geçici çözümler hakkında bir kılavuz yayınladı (3). Şu anda, MSDT URL protokolünü devre dışı bırakmak en kolay seçenek gibi görünüyor. Bununla birlikte, MSDT URL protokolünü devre dışı bırakmanın ne gibi etkileri olabileceği henüz net değil.
Ancak, OPSWAT MetaDefender 'ı sektör lideri Deep CDR™ Teknolojisi (İçerik Etkisizleştirme ve Yeniden Yapılandırma) teknolojimizle kullanıyorsanız, tüm bu konularda endişelenmenize gerek yoktur. Zararlı dosyalarda gizlenmiş tüm aktif içerik, kullanıcılarınıza ulaşmadan önce Deep CDR™ Teknolojisi tarafından devre dışı bırakıldığından, ağınız ve kullanıcılarınız saldırılara karşı güvende olur.
Aşağıda, Deep CDR™ Teknolojisinin, web uygulamanıza yüklenmiş veya e-posta eki olarak alınmış olsun, kötü amaçlı dosyayı nasıl işlediğini ve kullanıcılarınız için güvenli bir dosya oluşturduğunu gösteriyoruz.
Zehirli Microsoft Word dosyasını etkisiz hale getirin
Kötü amaçlı URL içeren .docx dosyası e-postalar, dosya yüklemeleri vb. yoluyla kuruluşunuzun ağına girdiğinde, MetaDefender OPSWAT kullanarak birden fazla kötü amaçlı yazılımdan koruma motoruyla dosyayı MetaDefender ve OLE nesneleri, köprüler, komut dosyaları vb. gibi potansiyel tehditleri inceler. Ardından, Deep CDR™ Teknolojisi yapılandırmalarına bağlı olarak tüm gömülü tehditler kaldırılır veya yinelemeli olarak temizlenir. Dosya işleme sonucumuzda gösterildiği gibi, bir OLE nesnesi kaldırıldı ve XML içeriği temizlendi.
İşlemden sonra, .docx belgesi artık "boş" bir bağlantıyla değiştirildiği için kötü amaçlı HTML bağlantısını içermez. Sonuç olarak, dahili kullanıcılarınız dosyayı açsa bile hiçbir kötü amaçlı yazılım yüklenmez ve yürütülmez.
İşlemden sonra temizlenen dosyayı hem OPSWAT hem de MetaDefender ile taradığımızda, belgenin risksiz olduğunu görebiliriz.
HTML dosyasının JavaScript'ini devre dışı bırakma
Deep CDR™ Teknolojisi motorunu dosyalardaki URL'leri kabul edecek şekilde yapılandırırsanız, yine de tamamen korunursunuz. Deep CDR™ Teknolojisi, yüklenen HTML dosyasındaki kötü amaçlı JavaScript'i potansiyel bir tehdit olarak değerlendirerek kaldırır. JavaScript olmadan PowerShell kodu indirilemez ve yürütülemez. Kullanıcılarınız, tehdit içermeyen yeniden yapılandırılmış dosyayı tam kullanılabilirlikle açıp kullanabilir.
Tespite Güvenmeyin
Bu yeni istismar yöntemi, kötü amaçlı yazılımın uzak bir şablondan yüklendiği için tespit edilmesi zordur, bu nedenle .docx dosyası kötü amaçlı kod içermediğinden ağ savunmasını atlayabilir (2). Benzer şekilde, siber suçlular, Microsoft Office programlarını ve makrolar, harici bağlantılar, OLE nesneleri vb. gibi özellikleri kullanarak kötü amaçlı yazılımları dağıtmak veya tetiklemek için güvenlik açıklarını aktif olarak istismar etmeye ve çeşitli saldırı vektörlerini kötüye kullanmaya devam etmektedir. Gerçek bir sıfır güven uygulaması için, sıfırıncı gün saldırılarını önlemek için algılama ve koruma güvenlik modeline güvenemezsiniz. Kuruluşlar, hem bilinen hem de bilinmeyen kötü amaçlı yazılımlardan korunmak için kapsamlı bir tehdit önleme çözümüne ihtiyaç duyar.
Deep CDR™ Teknolojisi, gelişmiş kaçak kötü amaçlı yazılımları ve sıfırıncı gün saldırılarını yenmek için yenilikçi ve etkili bir çözümdür. Tüm şüpheli yürütülebilir bileşenleri etkisiz hale getirerek saldırıları en erken aşamada durdurur ve aynı zamanda %100 tehdit içermeyen, güvenle kullanılabilen dosyalar sağlar.
Deep CDR™ Teknolojisi hakkında daha fazla bilgi edinin. Kuruluşunuza silah olarak kullanılan belgelere karşı kapsamlı koruma sağlamada nasıl yardımcı olabileceğimizi öğrenmek için şimdi bir OPSWAT görüşün.
Referans
[1] https://twitter.com/nao_sec/status/1530196847679401984
