AI 驅動的網路攻擊:如何偵測、預防及抵禦智慧型威脅

立即閱讀
我們利用人工智慧進行網站翻譯,雖然我們力求準確性,但它們可能並不總是 100% 精確。感謝您的理解。
首頁/ 文章 / 你能對 Follina 做些什麼嗎?
Endpoint 管理

你能對 Follina 做什麼?

by Vinh Lam,資深技術計畫經理
分享此文章

Microsoft Office 零時差漏洞被濫用以執行 PowerShell

2022 年 5 月 27 日,Nao_Sec (1) 發現了 Microsoft Office 中的零時差遠端代碼執行錯誤,並被研究員 Kevin Beaumont 稱為“Follina”。此漏洞使未經身份驗證的人員能夠透過利用下載的 Microsoft Office 檔獲得持久存取許可權並遠端控制目標系統。駭客可以使用它來透過 Microsoft 診斷工具 (MSDT) 執行惡意 PowerShell 命令,即使禁用了 Office 巨集也是如此。

“該檔案使用 Word 遠端範本功能從遠端 Web 伺服器搜尋 HTML 檔,而遠端 Web 伺服器又使用 ms-msdt MSProtocol URI 方案來載入一些代碼並執行一些 PowerShell,”研究員 Kevin Beaumont 解釋說。“那應該是不可能的。”(2)

2022 年 5 月 30 日,Microsoft 發佈了 CVE-2022-30190。Microsoft Office 版本 2013、2016、2019 和 2021 以及專業增強版會受到影響。但是,截至 2022 年 6 月 1 日,沒有可用的補丁。

在這篇博文中,我們分析了惡意軟體樣本,並向您展示了如何保護自己免受攻擊。

濫用 CVE-2022-30190 的攻擊概述

透過分析樣本,我們發現這種攻擊方法並不新鮮。威脅作者使用了與 2021 年 9 月 利用 CVE-2021-40444 的活動 類似的攻擊媒介。這兩次攻擊都使用了關係檔案中的外部連結,導致惡意 HTML 檔。

使用網路釣魚或社會工程,網路犯罪分子向目標受害者提供了武器化的 Microsoft Word 檔 (.docx) 並誘騙他們打開它。該檔案包含引用 HTML 的外部 URL,該 URL 具有不尋常的 JavaScript 代碼。

武器化的 Microsoft Word 檔 xml 代碼的螢幕幕截圖

該 JavaScript 引用具有 ms-msdt: 方案的 URL,該方案可以執行遠程代碼。 

引用遠端執行代碼的 JavaScript 代碼的圖像
這是從源自 https://twitter.com/0xBacco/status/1531599168363548672 的 POC 重新創建的圖像,用於顯示 JavaScript 的範例

如何防止攻擊

2022 年 5 月 30 日,Microsoft 發佈了有關支援用戶緩解新暴露漏洞的變通辦法的指南(3)。目前,禁用 MSDT URL 協定似乎是最簡單的選擇。然而,目前尚不清楚禁用 MSDT URL 協定可能產生的影響。

但是,如果您使用 OPSWAT MetaDefender 借助我們行業領先的 Deep CDR (檔案無毒化)技術,您不必擔心所有這些事情。您的網路和使用者不會受到攻擊,因為隱藏在有害檔案中的所有活動內容在到達您的使用者之前都會被 Deep CDR 禁用。

在下文中,我們將演示 Deep CDR 如何處理惡意檔,併為您的使用者生成一個可安全使用的檔,無論該檔案是上傳到您的 網路應用程式還是作為電子郵件附件接收。

中和有毒的 Microsoft Word 檔

一旦帶有惡意 URL 的 .docx 檔透過電子郵件、檔案上傳等方式進入組織的網路, MetaDefender 使用多個反惡意軟體引擎對其進行掃描 OPSWAT Meta掃描 並檢查檔是否存在潛在威脅,例如 OLE 物件、超連結、腳本等。接下來,根據 Deep CDR 配置,刪除或遞歸清理所有嵌入式威脅。如 檔案處理結果所示,刪除了 OLE 物件並清理了 XML 內容。

截圖 OPSWAT MetaDefender Cloud 顯示未檢測到威脅的儀錶板

完成此過程後,.docx 檔案不再包含惡意 HTML 連結,因為它已替換為“空白”連結。因此,即使內部使用者打開該檔案,也不會載入和執行惡意軟體。

Microsoft 檔案中清理的 xml 的螢幕截圖

掃描該過程後釋放的已清理檔,兩者兼而有之 OPSWAT Metascan 和 MetaDefender Sandbox,我們可以看到該檔案是無風險的。

截圖 MetaDefender Sandbox顯示未在清理的檔案中檢測到威脅

停用 HTML 檔的 JavaScript

如果您將 Deep CDR 引擎配置為接受檔案中的 URL,您仍然受到完全保護。Deep CDR 會刪除載入的 HTML 檔案中的惡意 JavaScript,因為它被視為潛在威脅。如果沒有 JavaScript,則無法下載和執行 PowerShell 代碼。您的使用者可以完全可用地打開和使用無威脅的重建檔。

螢幕幕截圖顯示了使用 Deep CDR 清理的乾淨檔

不要依賴檢測

這種新的利用方法很難檢測,因為惡意軟體是從遠端範本載入的,因此.docx檔可以繞過網路防禦,因為它不包含惡意代碼 (2)。同樣,網路犯罪分子繼續積極利用漏洞並濫用各種攻擊媒介,利用 Microsoft Office 程式和功能(如宏、外部連結、OLE 物件等)來傳遞或觸發惡意軟體。對於真正的零信任實施,不能依賴檢測保護安全模型來防止零時差攻擊。組織需要全面的威脅防護解決方案來保護他們免受已知和未知惡意軟體的侵害。

Deep CDR(檔案無毒化) 是一種創新且有效的解決方案,可擊敗高階規避惡意軟體和零時差攻擊。它透過解除所有可疑的可執行元件的武裝,在最早的階段阻止攻擊,同時提供 100% 無威脅的安全使用檔。

了解有關 Deep CDR(檔案無毒化) 技術的更多資訊。要了解我們如何説明您的組織提供全面的保護,使其免受武器化檔的侵害, 與 OPSWAT 現在是專家

參考

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

標籤:

最新文章

訂閱 OPSWAT 電子報

獲取最新的OPSWAT 公司更新、活動資訊和 推動產業發展的新聞。
註冊

在社群媒體上追蹤我們

在您的 LinkedIn、Facebook、Twitter 和 YouTube 上追蹤 OPSWAT以瞭解更多資訊!

隨時瞭解OPSWAT 的最新資訊!

立即註冊,即可收到公司的最新消息、 故事、活動資訊等。
訂閱