نماد سایت اتاق خبر شبکه گستر

هشدار درباره آسیب‌پذیری جدید «روز-صفر» در Office

محققان امنیت سایبری، آسیب‌پذیری جدیدی از نوع «روز-صفر» را در Microsoft Office شناسایی کرده‌اند که می‌تواند جهت «اجرای کد از راه دور» (Arbitrary Code Execution) در سیستم‌های آسیب‌پذیر Windows مورد سوء‌استفاده قرار گیرد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده ضعف امنیتی مذکور مورد بررسی قرار گرفته است.

این آسیب‌پذیری پس از آن آشکار شد که یک تیم تحقیقاتی مستقل امنیتی به نام nao_sec، یک فایل Word تحت عنوان (l05-2022-0438.doc) را که از یک نشانی IP در کشور بلاروس در سایت VirusTotal بارگذاری شده بود، کشف کردند. سایت VirusTotal هر فایل ارسالی از سوی کاربران را در تمامی ضدویروس‌های موجود بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد. گزارش پویش فایل مذکور در سایت VirusTotal در نشانی زیر قابل مشاهده می‌باشد.

https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection

این فایل Word از امکان External Link در نرم‌افزار Word جهت بارگذاری HTML و سپس از ابزار «ms-msdt» برای اجرای کد PowerShell استفاده می‌کند.               

ابزار تشخیص و پشتیبانی مایکروسافت (Microsoft Support Diagnostic Tool – به اختصار MSDT )، اطلاعاتی را برای ارسال به بخش پشتیبانی مایکروسافت جمع آوری می‌کند. سپس پشتیبانی مایکروسافت این اطلاعات را تحلیل نموده و از آن برای تعیین راه‌حل مشکلاتی که ممکن است در کامپیوتر رخ داده باشد، استفاده می‌کند.

به گفته کارشناس امنیتی که این ضعف امنیتی را «Follina» نامیده‌، فایل مخرب با استفاده از ویژگی Remote Template، یک فایل HTML را از یک سرور دریافت کرده و سپس از ابزار MSDT برای اجرای آن استفاده می‌کند.

علت نامگذاری این آسیب‌پذیری به «Follina» این است که در نمونه فایل مخرب به عدد 0438 اشاره شده که پیش شماره منطقه «Follina»، در شهر ترویزو ایتالیا (Treviso) است.

مشکل اصلی این ضعف امنیتی از آنجا ناشی می‌شود که Microsoft Word این کد را از طریق یک ابزار پشتیبانی معتبر (msdt) اجرا می‌کند لذا برای اجرای کدهای مخرب حتی به فعال بودن امکانات ماکروها در نرم‌افزار Word نیز نیازی نیست.

اگرچه ویژگی نمایش محافظت شده (Protected View) در Microsoft Office، اساساً جهت اخطار دادن درخصوص فایل‌های بالقوه ناامن طراحی شده و فعالسازی آن به کاربران در مورد احتمال وجود یک فایل مخرب هشدار می‌دهد، با این حال، این هشدار را می‌توان با تغییر قالب فایل به یک فایل با قالب RTFا (Rich Text Format) به راحتی دور زد. با انجام این کار، کد مخرب مبهم‌سازی شده، می‌تواند حتی بدون باز شدن فایل و تنها از طریق گزینه Preview در مرورگر Windows اجرا شود.

محققان شرکت امنیت سایبری Huntress Labs نیز در تحلیل جداگانه‌‌ای به این نکته پی بردند که فایل HTML به نام (RDF842l.html)، که نقطه شروع سوءاستفاده از این ضعف‌امنیتی است از دامنه‌ای به نام «xmlformats[.]com» دریافت می شود. البته این دامنه اکنون دیگر در دسترس نمی‌باشد.

یک فایل با قالب RTF می‌تواند این بهره‌جو (Exploit) را بدون هیچ گونه تعاملی از جانب کاربر (به غیر از انتخاب آن)، فقط از طریق گزینه Preview در Windows Explorer فراخوانی کند.

مشروح گزارش محققان Huntress Labs در نشانی زیر قابل مطالعه است:

https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

 

 

گفته می‌شود که این آسیب‌پذیری در چندین نسخه از Microsoft Office همچون Office 2016 ،Office 2013 و Office 2021 وجود دارد، اگرچه نسخه‌های دیگر همچون Office Professional Pro نیز آسیب‌پذیر می‌باشند.

شرکت مایکروسافت اکنون وجود این ضعف امنیتی را با شناسه CVE-2022-30190 تایید کرده و راهکار موقتی با غیرفعال کردن پودمان MSDT URL ارائه کرده است. جهت استفاده از این راهکار موقت، مراحل زیر را باید دنبال کرد:

 reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg

 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

بعد از ترمیم این ضعف امنیتی توسط مایکروسافت، می توانید با بازگرداندن فایل بایگانی تهیه شده، راهکار موقت را بی‌اثر کنید.

همچنین توصیه می‌گردد جهت مسدود کردن راه‌ سوءاستفاده از این ضعف امنیتی، گزینه Preview Pane در مرورگر Windowsا (Windows Explorer) غیرفعال شود.

جزئیات بیشتر در خصوص «راهنمای مایکروسافت درباره راهکارهای پیشگیری موقت» در نشانی زیر قابل مطالعه می‌باشد:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

 

منبع:

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

خروج از نسخه موبایل