Sikkerhedsanalytikere har opdaget en ny Microsoft Office zero-day sårbarhed, der bruges i angreb til at udføre ødelæggende PowerShell-kommandoer via Microsoft Diagnostic Tool (MSDT) blot ved at åbne et Word-dokument.
Sårbarheden, som endnu ikke har modtaget et sporingsnummer og omtales af infosec-samfundet som ”Follina”, udnyttes ved hjælp af ødelæggende Word-dokumenter, der udfører PowerShell-kommandoer via MSDT.
Denne nye Follina zero-day åbner døren til en ny og kritisk angrebsvektor, der udnytter Microsoft Office-programmer, da den fungerer uden forhøjede privilegier, omgår Windows Defender-registrering og ikke har brug for makrokode for at blive aktiveret til at udføre binære filer eller scripts.
Microsoft Office zero-day fundet ved et uheld
Sikkerhedsresearcher nao_sec fandt sidste fredag et Word-dokument indsendt til Virus Total scanningsplatform fra en IP-adresse i Hviderusland. “Jeg var på jagt efter filer på VirusTotal, der udnyttede CVE-2021-40444. Så fandt jeg en fil, der misbruger ms-msdt-ordningen,” fortalte nao_sec til BleepingComputer i et interview..
“Det bruger Words eksterne link til at indlæse HTML og bruger derefter ms-msdt-ordningen til at udføre PowerShell-kode,” tilføjedes det i et tweet Sikkerhedsanalytiker Kevin Beaumont forklarer i et blogindlæg, at det er en kommandolinjestreng, som Microsoft Word udfører ved hjælp af MSDT, selvom makroscripts er deaktiveret.
Ovenstående PowerShell-script udtrækker en Base64-kodet fil fra en RAR-fil og udføres. Denne fil er ikke længere tilgængelig, så det er ikke klart, hvilken ødelæggende aktivitet der blev udført af angrebet. Beaumont præciserer tingene mere ved at sige, at det ødelæggende Word-dokument bruger fjernskabelonfunktionen til at hente en HTML-fil fra en ekstern server. HTML-koden bruger derefter Microsofts MS-MSDT URI-protokolskema til at indlæse yderligere kode og udføre PowerShell-kode.
Analytikeren tilføjer, at protected view-funktionen i Microsoft Office, designet til at advare om filer fra potentielt usikre steder, aktiveres for at advare brugerne om muligheden for et ondsindet dokument. Denne advarsel kan dog let omgås ved at ændre dokumentet til en RTF-fil (Rich Text Format). Ved at gøre det kan den tilslørede køre “uden engang at åbne dokumentet (via fanen Forhåndsvisning i Explorer).”
Forskere reproducerer zero-day
Flere sikkerhedsforskere har analyseret det ødelæggende dokument, der deles af nao_sec og med succes gengivet udnyttelsen med flere versioner af Microsoft Office. På tidspunktet for skrivning, forskere har bekræftet, at sårbarheden findes i Office 2013, 2016, Office Pro Plus fra april (på Windows 11 med maj opdateringer), og en patched version af Office 2021:
I en separat analyse i dag giver researchere ved firmaet Huntress flere tekniske detaljer om, hvordan det fungerer. De fandt ud af, at HTML-dokumentet, der satte ting i gang, kom fra “xmlformater[.] com,” et domæne, der ikke længere indlæses. Huntress bekræftede Beaumonts konstatering af, at et RTF-dokument ville levere nyttelasten uden nogen interaktion fra brugeren (bortset fra at vælge det) til det, der almindeligvis er kendt som “nul-klik-udnyttelse.” Analytikere siger, at afhængigt af nyttelasten, kunne en angriber bruge denne udnyttelse til at nå fjerntliggende steder på offerets netværk Dette ville gøre det muligt for en hacker at indsamle hashes af offer Windows-maskine adgangskoder, der er nyttige til yderligere post-udnyttelse aktivitet.
Det kan være svært at opdage
Beaumont advarer om, at detektion for denne nye udnyttelsesmetode “sandsynligvis ikke vil være stor” og argumenterer for, at den ondsindede kode indlæses fra en ekstern skabelon, så Word-dokumentet, der bærer, vil ikke blive markeret som en trussel, da det ikke indeholder ødelæggende koder, bare en henvisning til det. For at opdage et angreb via denne vektor peger Huntress på overvågningsprocesser på systemet, fordi Follina-nyttelasten opretter en underordnet proces med msdt.exe under den krænkende Microsoft Office-forælder.
For organisationer, der er afhængige af Microsoft Defenders ASR-regler (Attack Surface Reduction), anbefaler Huntress at aktivere “Bloker alle Office-applikationer fra at oprette underordnede processer” i Block-tilstand, hvilket ville forhindre Follina-udnyttelser. Det anbefales at køre reglen i overvågningstilstand først og overvåge resultaterne, før du bruger ASR, for at sikre, at slutbrugerne ikke oplever negative virkninger. En anden afbødning, fra Didier Stevens, ville være at fjerne filtypeforeningen for ms-msdt, så Microsoft Office ikke vil være i stand til at påberåbe sig værktøjet, når du åbner et ondsindet Folina-dokument.
Rapporteret til Microsoft i april
Sikkerhedsforskere siger, at Follina-sårbarheden ser ud til at være blevet opdaget og rapporteret til Microsoft siden april. Ifølge skærmbilleder offentliggjort af et medlem af Shadow Chaser Group – en sammenslutning af universitetsstuderende med fokus på at jage og analysere avancerede vedvarende trusler (APT’er), blev Microsoft informeret om sårbarheden, men afviste det som “ikke et sikkerhedsrelateret problem.” Microsofts argument for dette var, at mens msdt.exe faktisk blev udført, havde det brug for en adgangskode ved start, og virksomheden kunne ikke replikere udnyttelsen. Men, den 12. april, lukkede Microsoft sårbarhedsindsendelsesrapporten (sporet som VULN-065524) og klassificerede den “Dette problem er løst,” med en sikkerhedspåvirkning af fjernudførelse af kode.
Kilde: BleepingComputer
Foto: Computer Bild