Microsoft Office Zero-Day-Schwachstelle zur Ausführung von PowerShell missbraucht
Am 27. Mai 2022 wurde von Nao_Sec (1) eine Zero-Day-Schwachstelle in Microsoft Office entdeckt, die von dem Forscher Kevin Beaumont als "Follina" bezeichnet wurde. Diese Schwachstelle ermöglicht es einer nicht authentifizierten Person, dauerhaften Zugriff zu erlangen und die Kontrolle über ein Zielsystem aus der Ferne zu übernehmen, indem sie heruntergeladene Microsoft Office-Dateien ausnutzt. Hacker können damit bösartige PowerShell-Befehle über das Microsoft Diagnostic Tool (MSDT) ausführen, selbst wenn Office-Makros deaktiviert sind.
"Das Dokument verwendet die Word-Remote-Vorlagenfunktion, um eine HTML-Datei von einem Remote-Webserver abzurufen, die wiederum das ms-msdt MSProtocol URI-Schema verwendet, um Code zu laden und PowerShell auszuführen", erklärt der Forscher Kevin Beaumont. "Das sollte nicht möglich sein." (2)
Am 30. Mai 2022 veröffentlichte Microsoft CVE-2022-30190. Betroffen sind die Microsoft Office-Versionen 2013, 2016, 2019 und 2021 sowie die Professional Plus-Editionen. Ab dem 1. Juni 2022 ist jedoch noch kein Patch verfügbar.
In diesem Blogbeitrag analysieren wir das Malware-Beispiel und zeigen Ihnen, wie Sie sich vor den Angriffen schützen können.
Überblick über den Angriff, der CVE-2022-30190 missbraucht
Bei der Analyse des Beispiels haben wir festgestellt, dass der Angriffsansatz nicht neu ist. Der Autor der Bedrohung verwendete einen ähnlichen Angriffsvektor wie die Kampagne, die CVE-2021-40444 im September 2021 ausnutzte. Bei beiden Angriffen wurde ein externer Link in einer Beziehungsdatei verwendet, der zu einer bösartigen HTML-Datei führte.
Mithilfe von Phishing oder Social Engineering lieferten die Cyberkriminellen eine waffenfähige Microsoft Word-Datei (.docx) an die Zielopfer und brachten sie dazu, diese zu öffnen. Die Datei enthält eine externe URL, die auf eine HTML-Datei verweist, die einen ungewöhnlichen JavaScript-Code enthält.
Dieses JavaScript verweist auf eine URL mit dem Schema ms-msdt:, die einen entfernten Code ausführen kann.
Wie Sie den Angriff verhindern können
Am 30. Mai 2022 veröffentlichte Microsoft eine Anleitung für Abhilfemaßnahmen, um Benutzer bei der Behebung der neu entdeckten Sicherheitslücke zu unterstützen (3). Derzeit scheint die Deaktivierung des MSDT-URL-Protokolls die einfachste Option zu sein. Es ist jedoch noch nicht klar, welche Auswirkungen die Deaktivierung des MSDT-URL-Protokolls haben könnte.
Wenn Sie jedoch OPSWAT MetaDefender mit unserem branchenführenden Deep CDR (Content Disarm and Reconstruction) Technologie verwenden, müssen Sie sich über all diese Dinge keine Gedanken machen. Ihr Netzwerk und Ihre Benutzer sind vor Angriffen sicher, da alle aktiven Inhalte, die in den schädlichen Dateien verborgen sind, von Deep CDR deaktiviert werden, bevor sie Ihre Benutzer erreichen.
Im Folgenden zeigen wir Ihnen, wie Deep CDR mit der schädlichen Datei umgeht und eine sichere Datei für Ihre Benutzer erzeugt, unabhängig davon, ob sie in Ihre Webanwendung hochgeladen oder als E-Mail-Anhang empfangen wurde.
Neutralisieren Sie die giftige Microsoft Word-Datei
Sobald die .docx-Datei mit einer bösartigen URL über E-Mails, Datei-Uploads usw. in das Netzwerk Ihres Unternehmens gelangt, scannt MetaDefender sie mit mehreren Anti-Malware-Engines unter Verwendung von OPSWAT Metascan und untersucht die Datei auf potenzielle Bedrohungen wie OLE-Objekte, Hyperlinks, Skripte usw. Anschließend werden alle eingebetteten Bedrohungen entfernt oder rekursiv bereinigt, je nach den Konfigurationen von Deep CDR . Wie in unserem Ergebnis der Dateiverarbeitung zu sehen ist, wurde ein OLE-Objekt entfernt und der XML-Inhalt bereinigt.
Nach diesem Vorgang enthält das .docx-Dokument nicht mehr den bösartigen HTML-Link, da er durch einen "leeren" Link ersetzt wurde. Selbst wenn Ihre internen Benutzer die Datei öffnen, wird daher keine Malware geladen und ausgeführt.
Wenn wir die bereinigte Datei, die nach dem Prozess freigegeben wurde, sowohl mit OPSWAT Metascan als auch mit MetaDefender Sandbox scannen, können wir feststellen, dass das Dokument risikofrei ist.
Deaktivieren Sie das JavaScript in der HTML-Datei
Wenn Sie Deep CDR so konfigurieren, dass URLs in Dateien akzeptiert werden, sind Sie dennoch vollständig geschützt. Deep CDR entfernt das bösartige JavaScript in der geladenen HTML-Datei, da es als potenzielle Bedrohung angesehen wird. Ohne das JavaScript kann der PowerShell-Code nicht heruntergeladen und ausgeführt werden. Ihre Benutzer können die bedrohungsfreie, rekonstruierte Datei öffnen und mit voller Nutzbarkeit verwenden.
Verlassen Sie sich nicht auf Detektion
Diese neue Angriffsmethode ist schwer zu erkennen, da die Malware von einer entfernten Vorlage geladen wird, so dass die .docx-Datei den Netzwerkschutz umgehen kann, da sie keinen bösartigen Code enthält (2). Ebenso nutzen Cyberkriminelle weiterhin aktiv Schwachstellen aus und missbrauchen verschiedene Angriffsvektoren, indem sie Microsoft Office-Programme und -Funktionen wie Makros, externe Links, OLE-Objekte usw. nutzen, um Malware zu übertragen oder auszulösen. Für eine echte Zero-Trust-Implementierung können Sie sich nicht auf ein Detect-to-Protect-Sicherheitsmodell verlassen, um Zero-Day-Angriffe zu verhindern. Unternehmen benötigen eine umfassende Lösung zur Abwehr von Bedrohungen, die sie sowohl vor bekannter als auch vor unbekannter Malware schützt.
Deep CDR ist eine innovative und effektive Lösung zur Abwehr von fortschrittlicher, ausweichender Malware und Zero-Day-Angriffen. Sie stoppt die Angriffe im frühesten Stadium, indem sie alle verdächtigen ausführbaren Komponenten entschärft und gleichzeitig 100 % bedrohungsfreie, sicher zu konsumierende Dateien bereitstellt.
Erfahren Sie mehr über die Deep CDR Technologie. Sprechen Sie jetzt mit einem Spezialisten von OPSWAT , um zu erfahren, wie wir Ihr Unternehmen umfassend vor waffenfähigen Dokumenten schützen können.
