کشف آسیب‌پذیری Zero-Day جدید مایکروسافت آفیس با نام Follina

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir follina zero day vulnerability
محققان امنیت سایبری Nao_Sec اعلام کردند که فایل MS Word با ظاهری عجیب در VirusTotal از یک آدرس IP متعلق به بلاروس بارگذاری شده است.

گروه تحقیقاتی مستقل امنیت سایبری Nao_Sec جزئیات شگفت‌انگیزی از آسیب‌پذیری روز صفر (zero-day) جدیدی را که در مایکروسافت آفیس شناسایی شده است، فاش کرده که با نام فولینا (Follina) معرفی گردیده است. محققان خاطرنشان کردند که محققان ادعا می‌کنند که این نقص می‌تواند در فصای سایبری مورد سواستفاده قرار گیرد.

به گفته محققان، این نقص به دلیل وجود کد 0438 در نمونه مخرب، کد منطقه شهرداری در ترویزو، ایتالیا به نام فولینا، به این نام نامگذاری شده است.

این نقص چگونه کشف شد؟
در ۲۷ ماه می‌، یک محقق Nao_Sec درباره کشف یک فایل Word عجیب و غریب با عنوان 05-2022-0438.doc که از یک آدرس IP مستقر در بلاروس در VirusTotal آپلود شده بود، در توییتر مطلبی منتشر کرد. یک تیم، از جمله محقق کوین بومونت، سپس شروع به بررسی این بدافزار کردند.

جزئیات آسیب‌پذیری
تحقیقات بیشتر نشان داد که این zero-day می‌تواند برای اجرای کد دلخواه در دستگاه‌های آسیب‌پذیری که سیستم‌عامل ویندوز دارند مورد سواستفاده قرار گیرد. محققان Nao_Sec در ادامه توییتر خود در پست وبلاگ توضیح دادند که مهاجمان از لینک خارجی MS Word برای بارگیری HTML استفاده کردند و بعداً از شماتیک "ms-msdt" برای اجرای کد PowerShell استفاده کردند.

"این فایل از ویژگی قالب Word از راه دور برای بازیابی یک فایل HTML از یک وب سرور راه دور استفاده می‌کند، که به نوبه خود از طرح ms-msdt MSProtocol URI برای بارگیری برخی کد‌ها و اجرای برخی از PowerShell استفاده می‌کند که طبیعتا این مورد نباید امکان‌پذیر باشد. "

اساساً Microsoft Support Diagnostics Tool یا MSDT ابزاری است که برای جمع‌آوری و عیب‌یابی داده‌های تشخیصی برای کارشناسان پشتیبانی برای تجزیه و تحلیل و رفع مشکل استفاده می‌شود. به طور معمول، فایل MS Word برای اجرای کد از طریق ماکرو‌های مخرب استفاده می‌شود. با این حال، در این مورد، تیم تحقیقاتی Nao_Sec متوجه شد که این کد حتی زمانی که ماکرو‌ها غیرفعال هستند، اجرا می‌شود.

علاوه بر این، مایکروسافت دیفندر نیز در حال حاضر نمی‌تواند از اجرای آن جلوگیری کند. همچنین بومونت گزارش داد که حالت نمایش محافظت شده حتی زمانی که فایل را به فرم RTF تغییر داده‌اند فعال نمی‌شود و حتی بدون باز کردن فایل اجرا می‌شود.

خطرات احتمالی
محققان دیگر، از جمله دیدیه استیونز و ریچ وارن از گروه NCC، به غیر از کوین بومونت، همچنین تأیید کردند که این نقص روز صفر می‌تواند از راه دور برای اجرای کد دلخواه در نسخه‌های مختلف MS Office و MS Windows مورد سواستفاده قرار گیرد.

بومونت این نقص را روی نسخه‌های آفیس متعددی مانند آفیس پرو پلاس، آفیس ۲۰۱۳، آفیس ۲۰۱۶ و آفیس ۲۰۲۱ آزمایش کرد و متوجه شد که این نقص با آخرین نسخه‌های آفیس و اینسایدر کار نمی‌کند. این مسأله نشان می‌دهد که مایکروسافت در حال حاضر روی یک پچ کار می‌کند.

برچسب ها: MS Windows, MSDT, Microsoft Support Diagnostics Tool, MSProtocol, ms-msdt, فولینا, Follina, مایکروسافت آفیس, Nao_Sec, MS Word, MS Office, آفیس, Microsoft Office, پچ, روز صفر, Virustotal, HTML, PowerShell, Patch, cybersecurity, Microsoft, آسیب‌پذیری, Vulnerability, مایکروسافت, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ