مهاجمان چینی این روزها به طور فعال از یک آسیبپذیری zero-day مایکروسافت آفیس (معروف به “Follina”) برای اجرای کدهای مخرب از راه دور در سیستمهای ویندوز استفاده میکنند.
این نقص اجرای کد از راه دور در Microsoft windows suport (MSDT) (که با عنوان CVE-2022-30190 ردیابی میشود) بر تمام پلتفرمهای کلاینت و سرور ویندوز که هنوز بهروزرسانیهای امنیتی را دریافت میکنند (ویندوز 7 یا بالاتر و ویندوز سرور 2008 یا بالاتر) تأثیر میگذارد.
محققینی که برای اولین باراین zero-day را در ماه آوریل گزارش کردند، اعلام کردند که مایکروسافت ابتدا این نقص را به عنوان یک “مشکل امنیتی” برچسب گذاری نکرده است، اما با توجه به گزارش های استفاده از این آسیب پذیری ، آن را در دسته مشکلات امنیتی قرار داد
سوء استفاده خطرناک از این آسیب پذیری
گروه TA413 APT، گروه هکری مرتبط با منافع دولت چین مسئولیت استفاده از این آسیبپذیری را در حملات بینالمللی ، پذیرفته است.
همانطور که در 30 مه توسط محققان امنیتی Proofpoint مشاهده شد، آنها با سوء استفاده از CVE-2022-30190 برای اجرای کدهای مخرب از طریق پروتکل MSDT هنگام باز کردن یا پیش نمایش اسناد Word تحویل داده شده در آرشیو ZIP توسط اهداف، استفاده می کنند.
محقق امنیتی MalwareHunterTeam همچنین اسناد DOCX را با نام فایلهای چینی مشاهده کرد که برای نصب بارهای مخرب شناسایی شده به عنوان تروجانهای سرقت رمز عبور از طریق http://coolrat[.]xyz استفاده میشوند.
پیشگیری
در واقع مهاجمی که با موفقیت از این آسیب پذیری استفاده کند می تواند به دلخواه کدهای موردنظر خود را با سطح دسترسی بالا فراخوانی و اجرا نماید سپس مهاجم میتواند برنامهها را نصب کند، دادهها را مشاهده، تغییر یا حذف کند، یا حسابهای جدیدی را در زمینهای که توسط حقوق کاربر مجاز است ایجاد کند.اما مایکروسافت در دستورالعمل جدیدی که امروز منتشرشده است،اقدامات و راهکارهای پیشگیری ارائه نموده است.
میتوانید حملاتی را که از CVE-2022-30190 سوء استفاده میکنند، با غیرفعال کردن پروتکل MSDT URL ،در سیستمهای آسیبپذیری را مسدود کنید.
همچنین توصیه میشود که پنجره پیشنمایش را در Windows Explorer غیرفعال کنید، زیرا این یکی دیگر از عوامل حمله است که هنگام پیشنمایش اسناد مخرب توسط اهداف قابل استفاده است.
پس از اینکه مایکروسافت از سوء استفاده فعال از این آسیبپذیری گزارش داد CISA از مدیران و کاربران خواست تا پروتکل MSDT را در دستگاههای ویندوزی خود غیرفعال کنند،
اولین حملات CVE-2022-30190 بیش از یک ماه پیش با استفاده از تهدیدهای اخاذی و دعوت به مصاحبه های رادیویی اسپوتنیک به عنوان فریب مشاهده شد.
تقریبا تمامی آنتی ویروس های شناخته شده و مهم که Hips ,Ids/Ips فعال و کاربردی دارند این آسیب پذیری را شناسایی می کنند.
اما برای پوشش آسیب پذیری ما باید آخرین وصله های نرم افزارها و سیستم عامل نصب گردد. همچنین استفاده از UTM ها یا پیکربندی صحیح و دقیق الزامی است.
