Güvenlik araştırmacıları, sadece bir Word belgesi açarak Microsoft Diagnostic Aracı (MSDT) aracılığıyla kötü niyetli PowerShell komutlarını yürütmek için saldırılarda kullanılan yeni bir Microsoft Office Zero-Day güvenlik açığı keşfettiler.
Henüz bir takip numarası almamış olan ve Infosec topluluğu tarafından 'Follina' olarak adlandırılan güvenlik açığı, MSDT aracılığıyla PowerShell komutlarını yürüten kötü niyetli kelime belgeleri kullanılarak kaldırılır.
Bu yeni Follina Zero-Day, yüksek ayrıcalıklar olmadan çalışırken, Windows Defender tespiti atladığı ve ikili dosyaları veya komut dosyalarını yürütmek için etkinleştirilmesi için Microsoft Office programlarından yararlanan yeni bir kritik saldırı vektörünün kapısını açar.
Geçen Cuma günü, güvenlik araştırmacısı NAO_SEC, Belarus'taki bir IP adresinden virüs toplam tarama platformuna gönderilen kötü niyetli bir kelime belgesi buldu.
NAO_SEC, BleepingComputer'a bir konuşmada, "Virustotal'da CVE-2021-40444'ten yararlanan dosyaları avlıyordum. Sonra MS-MSDT şemasını kötüye kullanan bir dosya buldum."
"HTML'yi yüklemek için Word'ün harici bağlantısını kullanır ve daha sonra PowerShell kodunu yürütmek için" MS-MSDT "şemasını kullanır," diye ekledi araştırmacı bir tweet'e ekledi ve aşağıdaki gizli kodun ekran görüntüsünü yayınladı:
Güvenlik araştırmacısı Kevin Beaumont kodu bozdu ve bir blog yayınında, makro komut dosyaları devre dışı olsa bile Microsoft Word Word'in MSDT'yi kullanarak yürüttüğü bir komut satırı dizisi olduğunu açıklıyor.
Yukarıdaki PowerShell betiği, bir RAR dosyasından Base64 kodlu bir dosyayı çıkaracak ve yürütecektir. Bu dosya artık mevcut değil, bu nedenle saldırı tarafından hangi kötü amaçlı etkinliklerin gerçekleştirildiği açık değil.
Beaumont, kötü niyetli Word belgesinin uzak bir sunucudan bir HTML dosyasını almak için uzak şablon özelliğini kullandığını söyleyerek daha fazla açıklar.
HTML kodu, ek kod yüklemek ve PowerShell kodunu yürütmek için Microsoft'un MS-MSDT URI protokol şemasını kullanır.
Araştırmacı, potansiyel olarak güvenli olmayan konumlardan dosyaları uyarmak için tasarlanan Microsoft Office'teki korumalı görünüm özelliğinin, kullanıcıları kötü niyetli bir belge olasılığı konusunda uyarmak için etkinleştirildiğini ekliyor.
Ancak, bu uyarı belgeyi zengin bir metin biçimi (RTF) dosyasına değiştirilerek kolayca atlanabilir. Bunu yaparak, gizlenmiş kod “belgeyi bile açmadan (Explorer'daki Önizleme sekmesi aracılığıyla) çalıştırabilir.
Birden fazla güvenlik araştırmacısı, NAO_SEC tarafından paylaşılan kötü amaçlı belgeyi analiz etti ve istismarın Microsoft Office'in birden fazla sürümüyle başarıyla yeniden üretildi.
Yazma anında, araştırmacılar güvenlik açığının Office 2013, 2016, Office Pro Plus'ta Nisan ayından (Mayıs güncellemeleri ile Windows 11'de) ve Office 2021'in yamalı bir sürümünde bulunduğunu doğruladılar:
Kaynak: Didier Stevens
Bugün ayrı bir analizde, Cybersecurity Services Company Huntress'teki araştırmacılar, istismar analiz etti ve nasıl çalıştığı hakkında daha fazla teknik ayrıntılar sağladı.
HTML belgesinin hareket halinde olan şeyleri ayarladığını buldular, artık yüklenmeyen bir alan adı olan “XMLFormats [.] Com” dan geldi.
Huntress, Beaumont’un bir RTF belgesinin, yaygın olarak “sıfır-tıkaç sömürüsü” olarak bilinen kullanıcıdan herhangi bir etkileşim olmadan (seçmenin yanı sıra) yükü sunacağını doğruladı.
Araştırmacılar, yüke bağlı olarak, bir saldırganın bu istismarı kurbanın ağındaki uzak konumlara ulaşmak için kullanabileceğini söylüyor
Bu, bir saldırganın, daha fazla kovma sonrası etkinlik için yararlı olan kurban Windows makineli şifrelerinin karmalarını toplamasına izin verecektir.
Beaumont, kötü amaçlı kodun uzak bir şablondan yüklendiğini savunarak, bu yeni sömürü yöntemi için tespitin “muhtemelen harika olmayacak” konusunda uyarıyor, bu nedenle kelime belgesi taşıması, kötü niyetli içermediği için bir tehdit olarak işaretlenmeyecek Kod, sadece bir referans.
Bu vektör yoluyla bir saldırı tespit etmek için Huntress, Follina yükü, rahatsız edici Microsoft Office ebeveyni altında 'MSDT.EXE' çocuk bir süreç oluşturduğundan sistemdeki izleme süreçlerine işaret eder.
“Ayrıca, sdiagnhost.exe işlemi bir Conhost.exe Child ve sonraki yük işlemleri ile ortaya çıkacak” - Huntress
Microsoft Defender’ın saldırı yüzey azaltma (ASR) kurallarına dayanan kuruluşlar için Huntress, Follina istismarlarını önleyecek olan blok modunda “tüm ofis uygulamalarının çocuk süreçleri oluşturmasını engellemek” için etkinleştirilmesini tavsiye eder.
Son kullanıcıların olumsuz etkiler yaşamadığından emin olmak için önce denetim modunda kuralı çalıştırma ve sonuçların izlenmesi önerilir.
Didier Stevens'ın bir başka hafifletme, Microsoft Office'in kötü niyetli bir folina belgesi açarken aracı çağıramayacak şekilde MS-MSDT için dosya türü ilişkisini kaldırmak olacaktır.
Güvenlik araştırmacıları, Follina güvenlik açığının Nisan ayından bu yana Microsoft'a keşfedildiğini ve bildirildiğini söylüyor.
The Shadow Chaser Group'un bir üyesi tarafından yayınlanan ekran görüntülerine göre - Avlanmaya ve Gelişmiş Kalıcı Tehditleri (APT'ler) analiz etmeye odaklanan bir üniversite öğrencileri birliği, Microsoft güvenlik açığı hakkında bilgilendirildi, ancak “güvenlik ile ilgili bir konu değil” olarak reddedildi.
Microsoft’un bunun için argümanı, ‘MSDT.EXE’ gerçekten yürütülürken, çalışırken bir parola ihtiyacı vardı ve şirketin sömürüyü çoğaltamamasıydı.
Ancak, 12 Nisan'da Microsoft, güvenlik açığı gönderme raporunu (vuln-065524 olarak izlendi) kapattı ve bir uzaktan kod yürütme güvenliği etkisi ile "Bu sorun düzeltildi".
BleepingComputer, 'Follina' güvenlik açığı hakkında daha fazla ayrıntı için Microsoft'a ulaştı ve neden güvenlik riski olarak kabul edilmediğini ve düzeltmeyi planlayıp planlamadığını sordu.
Şirket bir açıklama yaptığında makaleyi güncelleyeceğiz.
Microsoft, Office Zero-Day için Azaltma Paylaşımları Saldırılarda Susturan
Bu eğitim paketi anlaşmasıyla Microsoft Office'ten daha fazlasını alın
Microsoft PowerShell, Windows kayıt defteri değişikliklerini izlemenize olanak tanır
Microsoft: Office 2013 Nisan 2023'te Destek Sonu
Google Play eklemek için Windows 11 Aracı gizlice yüklü kötü amaçlı yazılım
Kaynak: Bleeping Computer