کشف آسیبپذیری Zero-Day جدید مایکروسافت آفیس با نام Follina
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیت سایبری Nao_Sec اعلام کردند که فایل MS Word با ظاهری عجیب در VirusTotal از یک آدرس IP متعلق به بلاروس بارگذاری شده است.
گروه تحقیقاتی مستقل امنیت سایبری Nao_Sec جزئیات شگفتانگیزی از آسیبپذیری روز صفر (zero-day) جدیدی را که در مایکروسافت آفیس شناسایی شده است، فاش کرده که با نام فولینا (Follina) معرفی گردیده است. محققان خاطرنشان کردند که محققان ادعا میکنند که این نقص میتواند در فصای سایبری مورد سواستفاده قرار گیرد.
به گفته محققان، این نقص به دلیل وجود کد 0438 در نمونه مخرب، کد منطقه شهرداری در ترویزو، ایتالیا به نام فولینا، به این نام نامگذاری شده است.
این نقص چگونه کشف شد؟
در ۲۷ ماه می، یک محقق Nao_Sec درباره کشف یک فایل Word عجیب و غریب با عنوان 05-2022-0438.doc که از یک آدرس IP مستقر در بلاروس در VirusTotal آپلود شده بود، در توییتر مطلبی منتشر کرد. یک تیم، از جمله محقق کوین بومونت، سپس شروع به بررسی این بدافزار کردند.
جزئیات آسیبپذیری
تحقیقات بیشتر نشان داد که این zero-day میتواند برای اجرای کد دلخواه در دستگاههای آسیبپذیری که سیستمعامل ویندوز دارند مورد سواستفاده قرار گیرد. محققان Nao_Sec در ادامه توییتر خود در پست وبلاگ توضیح دادند که مهاجمان از لینک خارجی MS Word برای بارگیری HTML استفاده کردند و بعداً از شماتیک "ms-msdt" برای اجرای کد PowerShell استفاده کردند.
"این فایل از ویژگی قالب Word از راه دور برای بازیابی یک فایل HTML از یک وب سرور راه دور استفاده میکند، که به نوبه خود از طرح ms-msdt MSProtocol URI برای بارگیری برخی کدها و اجرای برخی از PowerShell استفاده میکند که طبیعتا این مورد نباید امکانپذیر باشد. "
اساساً Microsoft Support Diagnostics Tool یا MSDT ابزاری است که برای جمعآوری و عیبیابی دادههای تشخیصی برای کارشناسان پشتیبانی برای تجزیه و تحلیل و رفع مشکل استفاده میشود. به طور معمول، فایل MS Word برای اجرای کد از طریق ماکروهای مخرب استفاده میشود. با این حال، در این مورد، تیم تحقیقاتی Nao_Sec متوجه شد که این کد حتی زمانی که ماکروها غیرفعال هستند، اجرا میشود.
علاوه بر این، مایکروسافت دیفندر نیز در حال حاضر نمیتواند از اجرای آن جلوگیری کند. همچنین بومونت گزارش داد که حالت نمایش محافظت شده حتی زمانی که فایل را به فرم RTF تغییر دادهاند فعال نمیشود و حتی بدون باز کردن فایل اجرا میشود.
خطرات احتمالی
محققان دیگر، از جمله دیدیه استیونز و ریچ وارن از گروه NCC، به غیر از کوین بومونت، همچنین تأیید کردند که این نقص روز صفر میتواند از راه دور برای اجرای کد دلخواه در نسخههای مختلف MS Office و MS Windows مورد سواستفاده قرار گیرد.
بومونت این نقص را روی نسخههای آفیس متعددی مانند آفیس پرو پلاس، آفیس ۲۰۱۳، آفیس ۲۰۱۶ و آفیس ۲۰۲۱ آزمایش کرد و متوجه شد که این نقص با آخرین نسخههای آفیس و اینسایدر کار نمیکند. این مسأله نشان میدهد که مایکروسافت در حال حاضر روی یک پچ کار میکند.
برچسب ها: MS Windows, MSDT, Microsoft Support Diagnostics Tool, MSProtocol, ms-msdt, فولینا, Follina, مایکروسافت آفیس, Nao_Sec, MS Word, MS Office, آفیس, Microsoft Office, پچ, روز صفر, Virustotal, HTML, PowerShell, Patch, cybersecurity, Microsoft, آسیبپذیری, Vulnerability, مایکروسافت, امنیت سایبری, Cyber Attacks, حمله سایبری