Microsoft Office Zero-Day-Schwachstelle zur Ausführung von PowerShell missbraucht
Am 27. Mai 2022 wurde von Nao_Sec (1) eine Zero-Day-Schwachstelle in Microsoft Office entdeckt, die von dem Forscher Kevin Beaumont als "Follina" bezeichnet wurde. Diese Schwachstelle ermöglicht es einer nicht authentifizierten Person, dauerhaften Zugriff zu erlangen und die Kontrolle über ein Zielsystem aus der Ferne zu übernehmen, indem sie heruntergeladene Microsoft Office-Dateien ausnutzt. Hacker können damit bösartige PowerShell-Befehle über das Microsoft Diagnostic Tool (MSDT) ausführen, selbst wenn Office-Makros deaktiviert sind.
"Das Dokument verwendet die Word-Remote-Vorlagenfunktion, um eine HTML-Datei von einem Remote-Webserver abzurufen, die wiederum das ms-msdt MSProtocol URI-Schema verwendet, um Code zu laden und PowerShell auszuführen", erklärt der Forscher Kevin Beaumont. "Das sollte nicht möglich sein." (2)
Am 30. Mai 2022 veröffentlichte Microsoft CVE-2022-30190. Betroffen sind die Microsoft Office-Versionen 2013, 2016, 2019 und 2021 sowie die Professional Plus-Editionen. Ab dem 1. Juni 2022 ist jedoch noch kein Patch verfügbar.
In diesem Blogbeitrag analysieren wir das Malware-Beispiel und zeigen Ihnen, wie Sie sich vor den Angriffen schützen können.
Überblick über den Angriff, der CVE-2022-30190 missbraucht
Bei der Analyse des Beispiels haben wir festgestellt, dass der Angriffsansatz nicht neu ist. Der Autor der Bedrohung verwendete einen ähnlichen Angriffsvektor wie die Kampagne, die CVE-2021-40444 im September 2021 ausnutzte. Bei beiden Angriffen wurde ein externer Link in einer Beziehungsdatei verwendet, der zu einer bösartigen HTML-Datei führte.
Mithilfe von Phishing oder Social Engineering lieferten die Cyberkriminellen eine waffenfähige Microsoft Word-Datei (.docx) an die Zielopfer und brachten sie dazu, diese zu öffnen. Die Datei enthält eine externe URL, die auf eine HTML-Datei verweist, die einen ungewöhnlichen JavaScript-Code enthält.
Dieses JavaScript verweist auf eine URL mit dem Schema ms-msdt:, die einen entfernten Code ausführen kann.
Wie Sie den Angriff verhindern können
Am 30. Mai 2022 veröffentlichte Microsoft Anleitungen zu Workarounds, um Benutzer bei der Behebung der neu bekannt gewordenen Sicherheitslücke zu unterstützen (3). Derzeit scheint die Deaktivierung des MSDT-URL-Protokolls die einfachste Option zu sein. Dennoch ist noch nicht klar, welche Auswirkungen die Deaktivierung des MSDT-URL-Protokolls haben könnte.
Wenn Sie jedoch OPSWAT MetaDefender mit unserer branchenführenden Deep CDR™-Technologie (Content Disarm and Reconstruction) nutzen, müssen Sie sich um all diese Dinge keine Sorgen machen. Ihr Netzwerk und Ihre Benutzer sind vor Angriffen geschützt, da alle in den schädlichen Dateien verborgenen aktiven Inhalte durch die Deep CDR™-Technologie deaktiviert werden, bevor sie Ihre Benutzer erreichen.
Im Folgenden zeigen wir Ihnen, wie die Deep CDR™-Technologie mit der schädlichen Datei umgeht und eine für Ihre Benutzer unbedenkliche Datei erstellt, unabhängig davon, ob diese in Ihre Webanwendung hochgeladen oder als E-Mail-Anhang empfangen wurde.
Neutralisieren Sie die giftige Microsoft Word-Datei
Sobald die .docx-Datei mit einer schädlichen URL über E-Mails, Datei-Uploads usw. in das Netzwerk Ihres Unternehmens gelangt, MetaDefender sie mithilfe von OPSWAT mit mehreren Anti-Malware-Engines und untersucht die Datei auf potenzielle Bedrohungen wie OLE-Objekte, Hyperlinks, Skripte usw. Anschließend werden alle eingebetteten Bedrohungen je nach den Konfigurationen der Deep CDR™-Technologie entfernt oder rekursiv bereinigt. Wie in unserem Ergebnis der Dateiverarbeitung zu sehen ist, wurde ein OLE-Objekt entfernt und der XML-Inhalt bereinigt.
Nach diesem Vorgang enthält das .docx-Dokument nicht mehr den bösartigen HTML-Link, da er durch einen "leeren" Link ersetzt wurde. Selbst wenn Ihre internen Benutzer die Datei öffnen, wird daher keine Malware geladen und ausgeführt.
Wenn wir die nach dem Vorgang freigegebene, bereinigte Datei sowohl mit OPSWAT als auch mit MetaDefender scannen, stellen wir fest, dass das Dokument risikofrei ist.
Deaktivieren Sie das JavaScript in der HTML-Datei
Selbst wenn Sie die Deep CDR™-Technologie so konfigurieren, dass URLs in Dateien akzeptiert werden, sind Sie weiterhin vollständig geschützt. Die Deep CDR™-Technologie entfernt das schädliche JavaScript aus der geladenen HTML-Datei, da es als potenzielle Bedrohung eingestuft wird. Ohne das JavaScript kann der PowerShell-Code nicht heruntergeladen und ausgeführt werden. Ihre Benutzer können die rekonstruierte, bedrohungsfreie Datei mit vollem Funktionsumfang öffnen und nutzen.
Verlassen Sie sich nicht auf Detektion
Diese neue Angriffsmethode ist schwer zu erkennen, da die Malware aus einer Remote-Vorlage geladen wird; somit kann die .docx-Datei die Netzwerkabwehr umgehen, da sie keinen Schadcode enthält (2). Ebenso nutzen Cyberkriminelle weiterhin aktiv Sicherheitslücken aus und missbrauchen verschiedene Angriffsvektoren, wobei sie Microsoft Office-Programme und -Funktionen wie Makros, externe Links, OLE-Objekte usw. einsetzen, um Malware zu verbreiten oder auszulösen. Für eine echte Zero-Trust-Implementierung können Sie sich nicht auf ein „Detect-to-Protect“-Sicherheitsmodell verlassen, um Zero-Day-Angriffe zu verhindern. Unternehmen benötigen eine umfassende Lösung zur Bedrohungsprävention, um sich sowohl vor bekannter als auch vor unbekannter Malware zu schützen.
Die Deep CDR™-Technologie ist eine innovative und effektive Lösung zur Abwehr von hochentwickelter, schwer zu erkennender Malware und Zero-Day-Angriffen. Sie stoppt die Angriffe im frühesten Stadium, indem sie alle verdächtigen ausführbaren Komponenten unschädlich macht und gleichzeitig 100 % bedrohungsfreie, sicher zu verwendende Dateien bereitstellt.
Erfahren Sie mehr über die Deep CDR™-Technologie. Um zu erfahren, wie wir Ihrem Unternehmen umfassenden Schutz vor manipulierten Dokumenten bieten können, sprechen Sie jetzt mit einem OPSWAT .
