پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

Windows MSDT zero-day توسط هکرهای APT چینی مورد سوء استفاده قرار گرفت

تیتر مطالب

مهاجمان چینی این روزها به طور فعال از یک آسیب‌پذیری zero-day مایکروسافت آفیس (معروف به “Follina”) برای اجرای کدهای مخرب از راه دور در سیستم‌های ویندوز استفاده می‌کنند.

این نقص اجرای کد از راه دور در Microsoft windows suport (MSDT) (که با عنوان CVE-2022-30190 ردیابی می‌شود) بر تمام پلتفرم‌های کلاینت و سرور ویندوز که هنوز به‌روزرسانی‌های امنیتی را دریافت می‌کنند (ویندوز 7 یا بالاتر و ویندوز سرور 2008 یا بالاتر) تأثیر می‌گذارد.

محققینی که برای اولین باراین zero-day را در ماه آوریل گزارش کردند، اعلام کردند که مایکروسافت ابتدا این نقص را به عنوان یک “مشکل امنیتی” برچسب گذاری نکرده است، اما با توجه به گزارش های استفاده از این آسیب پذیری ، آن را در دسته مشکلات امنیتی قرار داد

سوء استفاده خطرناک از این آسیب پذیری

گروه TA413 APT، گروه هکری مرتبط با منافع دولت چین مسئولیت استفاده از این آسیب‌پذیری را در حملات بین‌المللی ، پذیرفته است.

همانطور که در 30 مه توسط محققان امنیتی Proofpoint مشاهده شد، آنها با سوء استفاده از CVE-2022-30190 برای اجرای کدهای مخرب از طریق پروتکل MSDT هنگام باز کردن یا پیش نمایش اسناد Word تحویل داده شده در آرشیو ZIP توسط اهداف، استفاده می کنند.
محقق امنیتی MalwareHunterTeam همچنین اسناد DOCX را با نام فایل‌های چینی مشاهده کرد که برای نصب بارهای مخرب شناسایی شده به عنوان تروجان‌های سرقت رمز عبور از طریق http://coolrat[.]xyz استفاده می‌شوند.

پیشگیری

در واقع مهاجمی که با موفقیت از این آسیب پذیری استفاده کند می تواند به دلخواه کدهای موردنظر خود را با سطح دسترسی بالا فراخوانی و اجرا نماید سپس مهاجم می‌تواند برنامه‌ها را نصب کند، داده‌ها را مشاهده، تغییر یا حذف کند، یا حساب‌های جدیدی را در زمینه‌ای که توسط حقوق کاربر مجاز است ایجاد کند.اما مایکروسافت در دستورالعمل جدیدی که امروز منتشرشده است،اقدامات و راهکارهای پیشگیری ارائه نموده است.

می‌توانید حملاتی را که از CVE-2022-30190 سوء استفاده می‌کنند، با غیرفعال کردن پروتکل MSDT URL ،در سیستم‌های آسیب‌پذیری را مسدود کنید.
همچنین توصیه می‌شود که پنجره پیش‌نمایش را در Windows Explorer غیرفعال کنید، زیرا این یکی دیگر از عوامل حمله است که هنگام پیش‌نمایش اسناد مخرب توسط اهداف قابل استفاده است.

پس از اینکه مایکروسافت از سوء استفاده فعال از این آسیب‌پذیری گزارش داد CISA از مدیران و کاربران خواست تا پروتکل MSDT را در دستگاه‌های ویندوزی خود غیرفعال کنند،
اولین حملات CVE-2022-30190 بیش از یک ماه پیش با استفاده از تهدیدهای اخاذی و دعوت به مصاحبه های رادیویی اسپوتنیک به عنوان فریب مشاهده شد.
تقریبا تمامی آنتی ویروس های شناخته شده و مهم که Hips ,Ids/Ips فعال و کاربردی دارند این آسیب پذیری را شناسایی می کنند.
اما برای پوشش آسیب پذیری ما باید آخرین وصله های نرم افزارها و سیستم عامل نصب گردد. همچنین استفاده از UTM ها یا پیکربندی صحیح و دقیق الزامی است.