Expertii Kaspersky prevad un numar tot mai mare de atacuri folosind vulnerabilitatea Follina MS Office
calendar_month 09 Iun 2022, 17:01
Cercetatorii Kaspersky au descoperit o noua vulnerabilitate de tip zero-day in Microsoft Office, numita Follina. Aceasta le permite infractorilor cibernetici sa execute de la distanta cod rau intentionat pe sistemele victimelor lor, exploatand o vulnerabilitate din MSDT (Microsoft Diagnostics Tool) prin documente text compromise. Vulnerabilitatea zero-day nu a fost corectata, prin urmare cercetatorii Kaspersky au anticipat un numar tot mai mare de atacuri folosind vulnerabilitatea Follina.
Atacatorul se infiltreaza in reteaua victimei prin distribuirea unui document Microsoft Word (.docx) sau Rich Text Format (.rtf) special conceput, care contine un link catre un atasament HTML rau intentionat. In acelasi timp, la deschidere, documentul pregatit de un atacator lanseaza MSDT, un instrument de depanare Windows, care in mod normal colecteaza informatii si raporteaza departamentului support de la Microsoft. Linia de comanda furnizata catre MSDT prin adresa URL distribuita determina apoi rularea codului periculos.
Acesta permite atacatorului sa distribuie si sa instaleze programe rau intentionate pe computerul unei victime (inclusiv controllere de domeniu vulnerabile), precum si sa fure datele stocate si sa creeze conturi noi cu drepturi de utilizare complete. Una peste alta, atacatorul ar putea transmite orice comanda care urmeaza sa fie executata pe sistemul victimei, cu privilegiile utilizatorului care a deschis documentul text. Mai mult, comanda poate fi livrata catre sistemul vizat chiar daca victima a deschis documentul in modul protejat, ba chiar daca nici macar nu a deschis deloc documentul.
In total, de la inceputul lunii mai 2022 pana pe 3 iunie, produsele Kaspersky au detectat peste 1000 de incercari de a exploata vulnerabilitatea nou descoperita. Aproximativ 40% dintre aceste incercari au fost inregistrate in SUA, urmate de Vietnam (8,3%) si Pakistan (8,2%). In acelasi timp, situatia este diferita daca aruncam o privire pe lista tarilor clasate dupa cei mai multi utilizatori unici afectati: Pakistanul este lider cu aproape 45% dintre utilizatorii afectati, urmat de Rusia (6,5%) si SUA (4,32%). De remarcat, acestea sunt inregistrari specifice noii vulnerabilitati Follina, descoperite recent, dar incercarile de exploatare pot fi detectate si de alte verdicte.
Produsele Kaspersky protejeaza impotriva atacurilor care folosesc aceasta vulnerabilitate si detecteaza implantul rau intentionat ca:
PDM:Exploit.Win32.Generic
HEUR:Exploit.MSOffice.Agent.n
HEUR:Exploit.MSOffice.Agent.gen
HEUR:Exploit.MSOffice.CVE-2017-0199.a
HEUR:Exploit.MSOffice.CVE-2021-40444.a
HEUR:Exploit.MSOffice.Generic
Pentru a ramane protejati, expertii Kaspersky va sfatuiesc, de asemenea, sa urmati recomandarile Microsoft: Ghidul CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability. Mai exact, pentru a preveni exploatarea acestei vulnerabilitati, puteti dezactiva suportul pentru adresa URL a protocolului MSDT urmand acesti pasi:
Rulati Command Prompt ca Administrator.
Pentru a face backup cheilor de inregistrare modificate, executati comanda „reg export HKEY_CLASSES_ROOT\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ms-msdt filename”
Rulati comanda de dezactivare a suportului pentru adrese URL MDST „reg delete HKEY_CLASSES_ROOT\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ms-msdt /f”
Noutati