محققان امنیت سایبری، آسیبپذیری جدیدی از نوع «روز-صفر» را در Microsoft Office شناسایی کردهاند که میتواند جهت «اجرای کد از راه دور» (Arbitrary Code Execution) در سیستمهای آسیبپذیر Windows مورد سوءاستفاده قرار گیرد.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده ضعف امنیتی مذکور مورد بررسی قرار گرفته است.
این آسیبپذیری پس از آن آشکار شد که یک تیم تحقیقاتی مستقل امنیتی به نام nao_sec، یک فایل Word تحت عنوان (l05-2022-0438.doc) را که از یک نشانی IP در کشور بلاروس در سایت VirusTotal بارگذاری شده بود، کشف کردند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در تمامی ضدویروسهای موجود بررسی کرده و گزارش شناسایی یا عدم شناسایی آنها را در اختیار کاربر قرار میدهد. گزارش پویش فایل مذکور در سایت VirusTotal در نشانی زیر قابل مشاهده میباشد.
این فایل Word از امکان External Link در نرمافزار Word جهت بارگذاری HTML و سپس از ابزار «ms-msdt» برای اجرای کد PowerShell استفاده میکند.
ابزار تشخیص و پشتیبانی مایکروسافت (Microsoft Support Diagnostic Tool – به اختصار MSDT )، اطلاعاتی را برای ارسال به بخش پشتیبانی مایکروسافت جمع آوری میکند. سپس پشتیبانی مایکروسافت این اطلاعات را تحلیل نموده و از آن برای تعیین راهحل مشکلاتی که ممکن است در کامپیوتر رخ داده باشد، استفاده میکند.
به گفته کارشناس امنیتی که این ضعف امنیتی را «Follina» نامیده، فایل مخرب با استفاده از ویژگی Remote Template، یک فایل HTML را از یک سرور دریافت کرده و سپس از ابزار MSDT برای اجرای آن استفاده میکند.
علت نامگذاری این آسیبپذیری به «Follina» این است که در نمونه فایل مخرب به عدد 0438 اشاره شده که پیش شماره منطقه «Follina»، در شهر ترویزو ایتالیا (Treviso) است.
مشکل اصلی این ضعف امنیتی از آنجا ناشی میشود که Microsoft Word این کد را از طریق یک ابزار پشتیبانی معتبر (msdt) اجرا میکند لذا برای اجرای کدهای مخرب حتی به فعال بودن امکانات ماکروها در نرمافزار Word نیز نیازی نیست.
اگرچه ویژگی نمایش محافظت شده (Protected View) در Microsoft Office، اساساً جهت اخطار دادن درخصوص فایلهای بالقوه ناامن طراحی شده و فعالسازی آن به کاربران در مورد احتمال وجود یک فایل مخرب هشدار میدهد، با این حال، این هشدار را میتوان با تغییر قالب فایل به یک فایل با قالب RTFا (Rich Text Format) به راحتی دور زد. با انجام این کار، کد مخرب مبهمسازی شده، میتواند حتی بدون باز شدن فایل و تنها از طریق گزینه Preview در مرورگر Windows اجرا شود.
محققان شرکت امنیت سایبری Huntress Labs نیز در تحلیل جداگانهای به این نکته پی بردند که فایل HTML به نام (RDF842l.html)، که نقطه شروع سوءاستفاده از این ضعفامنیتی است از دامنهای به نام «xmlformats[.]com» دریافت می شود. البته این دامنه اکنون دیگر در دسترس نمیباشد.
یک فایل با قالب RTF میتواند این بهرهجو (Exploit) را بدون هیچ گونه تعاملی از جانب کاربر (به غیر از انتخاب آن)، فقط از طریق گزینه Preview در Windows Explorer فراخوانی کند.
مشروح گزارش محققان Huntress Labs در نشانی زیر قابل مطالعه است:
https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
گفته میشود که این آسیبپذیری در چندین نسخه از Microsoft Office همچون Office 2016 ،Office 2013 و Office 2021 وجود دارد، اگرچه نسخههای دیگر همچون Office Professional Pro نیز آسیبپذیر میباشند.
شرکت مایکروسافت اکنون وجود این ضعف امنیتی را با شناسه CVE-2022-30190 تایید کرده و راهکار موقتی با غیرفعال کردن پودمان MSDT URL ارائه کرده است. جهت استفاده از این راهکار موقت، مراحل زیر را باید دنبال کرد:
- Command Prompt را با اختیارات admin اجرا کنید.
- دستور زیر را برای تهیه نسخه پشتیبان، اجرا کنید:
reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg
- دستور زیر را برای غیرفعال کردن پودمان مورد نظر اجرا کنید:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
بعد از ترمیم این ضعف امنیتی توسط مایکروسافت، می توانید با بازگرداندن فایل بایگانی تهیه شده، راهکار موقت را بیاثر کنید.
همچنین توصیه میگردد جهت مسدود کردن راه سوءاستفاده از این ضعف امنیتی، گزینه Preview Pane در مرورگر Windowsا (Windows Explorer) غیرفعال شود.
جزئیات بیشتر در خصوص «راهنمای مایکروسافت درباره راهکارهای پیشگیری موقت» در نشانی زیر قابل مطالعه میباشد:
منبع:
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html