fbpx
vida usługi it katowice
Kontakt
vida usługi it katowice

Zero-Day Follina wykorzystuje narzędzie Microsoft

Aktualizacja 16 czerwca 2022: 14 czerwca 2022 firma Microsoft wydała aktualizację usuwającą podatność CVE-2022-30190. BlackBerry zaleca jak najszybszą aktualizację swoich urządzeń.

Spis treści
Każdy kto otrzymał złośliwy plik może nieświadomie stać się ofiarą ataku otwierając zainfekowany dokument.
Microsoft ostrzega aby wyłączyć funkcję odpowiedzialne za wykorzystanie podatności. Rzućmy okiem na parę szczegółów dot. exploita

Podatność zero-day kreatora rozwiązywania problemów diagnostycznych (MSTD)

Podatność ta została nazwa “Follina” i wykorzystuje kreatora rozwiązywania problemów diagnostycznych. Kreator jest wykorzystywany bardzo często i nieświadomie. Dla przykładu jeśli system nie posiada żadnego wyjścia audio (o czym informuje nas pasek zadań) to kliknięcie na mikser głośności automatycznie uruchamia kreator.
Badacze, którzy zajmują się weryfikowaniem ataków zero-day wzięli pod lupę daną podatność. Okazało się, że zainfekowane pliki nie potrzebują ręcznego uruchomienia makr. Dodatkowo jeśli pliki posiadają rozszerzenie .rtf oraz użytkownik posiada włączony automatyczny podgląd w eksploratorze plików (widok -> okienko podglądu) to złośliwy kod również się wykona bez otwierania go.
Konsekwencje ataku (CVE-2022-30190) według Microsoftu mogą być następujące:

“An attacker who successfully exploits this vulnerability can run arbitrary code with the privileges of the calling application. The attacker can then install programs, view, change, or delete data, or create new accounts in the context allowed by the user’s rights.”
Jak możemy przeczytać atakujący może bardzo wiele zdziałać na zainfekowanej maszynie. Może instalować programy, przeglądać, edytować i usuwać pliki, tworzyć nowe konta użytkowników.
Wykorzystanie tej podatności nie musi się wiązać od razu z konsekwencjami dla naszej maszyny, ale dzięki niej atakujący może zrobić bardzo dobry rekonesans w infrastrukturze, a w przyszłości bardzo dobrze przygotować się do ataku.

Jak zapobiegać Follinie

Użytkownicy CylanceOPTICS mogą wykryć atak aktywując niestandardową regułę, którą pobiorą stąd:
https://support.blackber…

Jak uaktywnić regułę:

  1. Odwiedź stronę:
    https://protect.cylance……
  2. Wybierz “Import Rule”
  3. Wybierz “Browse for a file or drag and drop the .json file to the window”
  4. Wybierz “Import”
  5. Wybierz “Validate”
  6. Wybierz “Publish”
  7. Następnie przypisz daną regułę do swojego urządzenia steps listed here.
     

W międzyczasie Microsoft zaleca wyłączenie MSDT do czasu udostępnienia łatki aby zminimalizować ryzyko wykorzystania exploita. Można to zrobić w następujący sposób:

  1. Uruchom wiersz poleceń jako administrator
  2. Utwórz kopię zapasową klucza rejestru “reg export HKEY_CLASSES_ROOT\ms-msdt filename“ 
  3. A następnie wykonaj polecenie “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”Aby włączyć z powrotem MSDT należy:
  1. Uruchom wiersz poleceń jako administrator
  2. Zaimportuj wcześniej wyeksportowany plik rejestru “reg import filename,” gdzie filename to nazwa, naszego wyeksportowanego wcześniej pliku rejestru.

Benjamin Delpy (autor programu mimikatz) jako alternatywne rozwiązanie zapobiegające atakowi zaleca wyłączenie kreatora rozwiązywania problemów w edytorze zasad na serwerze. Można to zrobić w następujący sposób:

  • Konfiguracja komputera -> Szablony administracyjne -> System -> Rozwiązywanie problemów i diagnostyka -> Diagnostyka inicjowana przez skrypty: 
  • Ustaw “Rozwiązywanie problemów: zezwalaj użytkownikom na dostęp do kreatorów rozwiązywania problemów i uruchamianie ich “Wyłączone”

Folina nie jest nową podatnością

Podatność została odkryta kilka tygodni temu przez użytkownika “crazyman”, jednak wtedy Microsoft nie uznał jej za zagrożenie. Co ciekawe, artykuł z sierpnia 2020, którego autorem jest Benjamin Altpeter przedstawia wykonanie złośliwego kodu za pomocą przeglądarki i narzędzia MSDT. 

Po wykryciu przykładów złośliwego wykorzystania tej podatności pod koniec maja 2022, Microsoft zmienił zdanie i przedstawił tymczasowe obejście problemu.

Ismael Valenzuela, Wiceprezes działu badawczego dot. zagrożeń BlackBerry, przedstawia znaczenie ataków zero-day dla organizacji:

„Any type of vulnerability, or simply a built-in software feature, that allows Office documents to download and execute malware onto victim’s systems is an attacker’s favorite,” Valenzuela says. “Historically, we have seen attackers weaponizing them as part of large campaigns very quickly, and this is no exception.”

Jak podaje Ismael podatności wykorzystujące wbudowane rozwiązania, które mogą być pobierane np. przez pakiet Office są uwielbiane przez atakujących i tak też stało się w tym przypadku.

“Several ready-to-use tools leverage this attack to create exploits, according to Valenzuela, and many samples are already widely available. This is likely to create long-term cyber risk.”

Istnieje kilka narzędzi wykorzystujące ten atak by utworzyć luki, i według Valenzueli, wiele z nich jest już szeroko dostępnych. Prawdopodobnie spowoduje to długotrwałe zagrożenie dla bezpieczeństwa.
Jak podaje Valenzueli istnieją gotowe narzędzia, które pozwalają na tworzenie plików wykorzystujących podatność Follina i są one szeroko dostępne, a to spowoduje długotrwałe zagrożenie dla bezpieczeństwa.
“This vulnerability also bypasses the security restrictions provided by Microsoft, even when macros are disabled, executing the malware without any visible warning to the user,” he says. “Even when Microsoft issues a patch, the fact that many organizations struggle to patch their Office software, sometimes for years, adds to the severity of the problem, since threat actors can use these initial entry vectors for a long time.”

Valenzuela podaje, że Follina skutecznie omija zasady bezpieczeństwa m.in. pozwala na uruchomienie makr bez konieczności ingerencji użytkownika. Nawet jeśli Microsoft wyda łatkę to i tak organizację będą ją wdrażać długo co pozwala atakującym na wykorzystywanie tej podatności jeszcze przez długi czas.

Z tej przyczyny jest to doskonały czas, by przypomnieć użytkownikom, jakie ryzyko niosą za sobą nieoczekiwane wiadomości i dokumenty w skrzynkach mailowych. Ostrożność to pierwsza linia obrony, a użytkownicy powinni mieć świadomość, że nawet otwarcie podejrzanego maila jest potencjalnym zagrożeniem dla bezpieczeństwa firmy, szczególnie, że czasem nawet proste najechanie myszką na dokument jest wystarczające, by rozpocząć atak.

Źródło: https://blogs.blackberry.com/en/2022/06/follina-zero-day-weaponizes-microsoft-help-tool

Play Video about cylance

Sprawdź nasze usługi

Bezpłatne
Konsultacje FortiGate
Sprawdź czy w pełni wykorzystujesz możliwości urządzenia FortiGate w swojej firmie
BlackBerry
Threat​ Hunting​ 4Free
Sprawdź swoje środowisko i upewnij się, że w pełni je kontrolujesz!
Cyberbezpieczny
pracownik
Zwiększ bezpieczeństwo IT swojej firmy poprzez cyberedukację pracowników
szkolenie

Zobacz również

Cylance AI
szkolenie bezpieczny pracownik w IT

Ludzie są najcenniejszą wartością Twojej organizacji

Zwiększ bezpieczeństwo IT firmy poprzez cyberedukację pracowników. Postaw na szkolenie CyberBezpieczny Pracownik!

Dowiedz się więcej

Zaufali nam

Poprzedni
Następny
Sprawdź jak ocenili nas klienci
5/5
251 opinii z Google

Case Study

Blog

Polecane produkty

Szkolenia

Śledź nas: