محافظت در برابر آسیب‌پذیری Follina با به روزرسانی ویندوز !!!

Follina

محافظت در برابر آسیب‌پذیری Follina با به روزرسانی ویندوز !!!

مایکروسافت آسیب‌پذیری Follina (CVE-2022-30190) را در ویندوز با به‌روزرسانی‌های خرداد 1401 اصلاح کرد!!!

به‌روزرسانی‌های امنیتی ویندوز در24 خرداد 1401 منتشر شد و آسیب‌پذیری موجود در پروتکل ms-msdt: را که امکان استفاده نادرست از Microsoft Support Diagnostics Utility را فراهم می‌کرد، مسدود کرد. آسیب پذیری معروف به Follina، CVE-2022-30190، در حال حاضر در حملات مختلفی مورد سوء استفاده قرار گرفته است.

Follina

آسیب پذیری CVE-2022-30190 (Follina)

آسیب‌پذیری CVE-2022-30190 (معروف به Follina) که از اواخر ماه مه 2022 عمومی شد، اجازه می‌دهد تا از ابزار تشخیصی پشتیبانی Microsoft (msdt.exe) از طریق پروتکل ms-msdt: برای دانلود اسناد مخرب Word (یا صفحات گسترده Excel) به طور غیرمجاز بهره ببرید. علاوه بر این، راه های سوء استفاده از طریق Wget در PowerShell نیز شناخته شده است. مهاجم می‌تواند از این آسیب پذیری برای اجرای کد از راه دور استفاده کند.

 

patch با به‌روزرسانی‌های خرداد 1401

مایکروسافت همچنین آسیب‌پذیری CVE-2022-30190 (Follina) را با به‌روزرسانی‌های امنیتی ویندوز 24 خرداد 1401 اصلاح کرد.

این بدان معناست که به‌روزرسانی‌های امنیتی مناسب برای همه نسخه‌های ویندوز سرور و کلاینت که هنوز پشتیبانی می‌شوند در دسترس است. این آسیب‌پذیری به‌عنوان «مهم» رتبه‌بندی می‌شود، یعنی به‌روزرسانی‌ها باید به سرعت نصب شوند تا از سوءاستفاده‌ها از قبل جلوگیری شود.

 

Follina

در 6خرداد 1401، تیم تحقیقاتی امنیت سایبری ژاپنی nao_sec یک سند Word عجیب را در VirusTotal شناسایی کرد که دو روز قبل از یک آدرس IP در بلاروس آپلود شده بود. این maldoc حاوی کد مخربی برای استفاده از “ویژگی الگوی راه دور Word برای بازیابی [یک] فایل HTML از یک [وب سرور] از راه دور بود، که به نوبه خود از طرح ms-msdt MSProtocol URI برای بارگیری برخی از کدها و اجرای PowerShell استفاده می‌کند. ” اینها سخنان یکی از کارشناس امنیت سایبری است که توجه او به این مسئله جلب شد و تصمیم گرفت آن را بررسی کند.”

در واقع، این او بود که با تشخیص اینکه یک آسیب‌پذیری روز صفر در MSDT است، آن را Follina نامید. اما چرا این نام را برای این آسیب پذیری انتخاب کرد؟ زیرا یکی از نام‌های maldoc ارجاع شده “05-2022-0438” بود. و 0438 کد منطقه فولینا در ایتالیا است.

اجازه دهید این موضوع را کمی بیشتر توضیح دهیم…

 

مفهوم MSDT

MSDT (ابزار تشخیصی پشتیبانی مایکروسافت) یک ابزار تشخیصی و عیب یابی است که در سیستم عامل ویندوز قرار دارد. از مستندات مایکروسافت، “یک بسته عیب یابی را در خط فرمان یا به عنوان بخشی از یک اسکریپت خودکار فراخوانی می‌کند و گزینه های اضافی را بدون ورودی کاربر فعال می‌کند.

Microsoft Word از جمله برنامه هایی است که می‌تواند MSDT را از طریق طرح URI پروتکل ms-msdt:/ فراخوانی کند تا بسته های عیب‌یاب خود را راه اندازی کند. URI (Uniform Resource Identifier) ​​یک توالی منحصر به فرد از کاراکترها برای شناسایی یک منبع در فناوری‌های وب است. برای مثال URL (Uniform Resource Locator)، یک URI است که مکان یک منبع را برای بازیابی آن فراهم می‌کند. طرح های URI می‌توانند چندگانه باشند. از جمله آن‌ها http://، https://، mailto: و file:// داریم. چیزی که در این مناسبت برای ما مهم است ms-msdt:/ است.

 

مدیریت کننده های URL

وقتی برنامه‌ها روی ویندوز نصب می‌شوند، می‌توانند یک URL برای راه‌اندازی برنامه خود با یک پیوند سفارشی ثبت کنند. ویندوز دارای بسیاری از مدیریت‌کننده‌های URL پیش‌فرض برای برنامه‌های داخلی سیستم‌عامل است، از جمله یکی برای msdt.exe – ms-msdt:/.

 

روند استفاده از Follina

برای بهره برداری از  آسیب‌پذیری Follina، قربانی سند Word ای که مهاجم آن را ساخته را در یک ایمیل بر اساس یک ترفند مهندسی اجتماعی دریافت می‌کند تا آن‌ها را متقاعد کند که آن را باز کنند. اگرچه ممکن است یک فایل خالی باشد، اما “حاوی یک مرجع خارجی است که به یک URL مخرب اشاره می‌کند.” (این یک مشکل است که آفیس اجازه بارگیری بدون فیلتر از قالب های Word HTML و پیوندهای Outlook را می‌دهد.) از آنجا، یک دیتا با پروتکل ms-msdt:/ به دست می‌آید و مایکروسافت آفیس به طور خودکار آن را پردازش می‌کند.

Follina

یکی از محققین امنیتی متوجه شد که این اتفاق حتی زمانی که ماکروها غیرفعال هستند نیز ممکن است رخ دهد. برای مهاجم کافی بود که سند را به فرمت RTF تبدیل کند. بنابراین، حتی با فعال بودن نمای محافظت شده آفیس (که اجازه نمی‌دهد ماکروها روی اسناد از اینترنت اجرا شوند)، اجرای کد در حالی رخ می‌دهد که قربانی فقط سند را پیش‌نمایش می‌کند، یعنی بدون باز کردن آن!!!

مهاجمی که با موفقیت از این آسیب‌پذیری سوء استفاده می‌کند، می‌تواند کد دلخواه خود را با امتیازات برنامه فراخوان اجرا کند. سپس این فرد مهاجم می‌تواند برنامه‌ها را نصب کند، داده‌ها را مشاهده، تغییر یا حذف کند، یا حساب‌های جدیدی را در زمینه‌های مجاز حقوق کاربر ایجاد کند.

بنابراین، در موردی که در بالا ذکر شد، امتیازات قربانی که فایل ورد را دریافت کرده بود، مانند امتیازاتی بود که از راه دور در اختیار مهاجم قرار داشت. شکی نیست که ما با یک آسیب‌پذیری بسیار خطرناک، با سطح شدت بالا (ظاهراً امتیاز CVSS 7.8) و پیامدهای گسترده روبرو هستیم.

 

چه کاری می‌توانید در مورد آن انجام دهید؟

همانطور که گفتیم، مایکروسافت اکیداً توصیه می‌کند که همه کاربران به‌روزرسانی‌ها را نصب کنند تا ازاین آسیب‌پذیری کاملاً محافظت شوند.

مایکروسافت در راهنمایی های خود، به عنوان یک اقدام پیشگیرانه، غیرفعال کردن پروتکل URL MSDT را نیز پیشنهاد می‌کند. دستورالعمل آن به شرح زیر است:

  • Command Prompt را به عنوان Administrator اجرا کنید.
  • برای پشتیبان گیری از کلید رجیستری، دستور reg export HKEY_CLASSES_ROOT\ms-msdtfilename را اجرا کنید.
  • دستور reg delete HKEY_CLASSES_ROOT\ms-msdt /f را اجرا کنید.

این مرحله دوم ضروری است تا بتوانید کلید رجیستری را با دستور reg importfilename به محض اینکه دیگر به این راه حل نیاز ندارید بازیابی کنید.

مایکروسافت همچنین به مشتریان خود توصیه می‌کند که آنتی‌ویروس Microsoft Defender را برای شناسایی و توقف تهدیدها، «محافظت تحویل ابری و ارسال خودکار نمونه» را فعال کنند. علاوه بر این، باید مراقب ایمیل های ارسالی توسط فرستندگان ناشناس باشید. در مورد کسانی که فایل های مایکروسافت آفیس دارند بسیار مراقب باشید. اگر آن‌ها را باز کنید یا حتی آن‌ها را در حالت پیش نمایش ببینید، ممکن است در شرایط سختی قرار بگیرید.

شایان ذکر است که “میکروپچ” رایگان برای فولینا به صورت غیر رسمی توسط تیم 0patch برای ورژن های مختلف ویندوز و ویندوز سرور منتشر شده است.

Follina

کلام آخر

در مجموع مایکروسافت بسیار توصیه می‌کند که همه کاربران به‌روزرسانی‌ها را در اسرع وقت نصب کنند تا به طور کامل از آسیب‌پذیری محافظت شوند. کاربرانی که سیستم‌هایشان برای دریافت به‌روزرسانی‌های خودکار پیکربندی شده‌اند، نیازی به انجام هیچ اقدام دیگری ندارند.

سعی کنید هرچه سریعتر اقدامات لازم را انجام دهید تا از حملات مرتبط با این آسیب پذیری در امان بمانید.

امیدواریم که مطالب فوق برای شما مفید بوده باشد. برای کسب اطلاعات بیشتر می‌توانید بدین صفحه مراجعه کنید.

علاوه بر آن، به محض این که اطلاعات جدیدی درباره این موضوع بدست آوریم حتما با شما به اشتراک خواهیم گذاشت.

بی صبرانه منتظر نظرات، انتقادات، پرسش‌های شما عزیزان هستیم.