مایکروسافت آسیبپذیری Follina (CVE-2022-30190) را در ویندوز با بهروزرسانیهای خرداد 1401 اصلاح کرد!!!
بهروزرسانیهای امنیتی ویندوز در24 خرداد 1401 منتشر شد و آسیبپذیری موجود در پروتکل ms-msdt: را که امکان استفاده نادرست از Microsoft Support Diagnostics Utility را فراهم میکرد، مسدود کرد. آسیب پذیری معروف به Follina، CVE-2022-30190، در حال حاضر در حملات مختلفی مورد سوء استفاده قرار گرفته است.
آسیب پذیری CVE-2022-30190 (Follina)
آسیبپذیری CVE-2022-30190 (معروف به Follina) که از اواخر ماه مه 2022 عمومی شد، اجازه میدهد تا از ابزار تشخیصی پشتیبانی Microsoft (msdt.exe) از طریق پروتکل ms-msdt: برای دانلود اسناد مخرب Word (یا صفحات گسترده Excel) به طور غیرمجاز بهره ببرید. علاوه بر این، راه های سوء استفاده از طریق Wget در PowerShell نیز شناخته شده است. مهاجم میتواند از این آسیب پذیری برای اجرای کد از راه دور استفاده کند.
patch با بهروزرسانیهای خرداد 1401
مایکروسافت همچنین آسیبپذیری CVE-2022-30190 (Follina) را با بهروزرسانیهای امنیتی ویندوز 24 خرداد 1401 اصلاح کرد.
این بدان معناست که بهروزرسانیهای امنیتی مناسب برای همه نسخههای ویندوز سرور و کلاینت که هنوز پشتیبانی میشوند در دسترس است. این آسیبپذیری بهعنوان «مهم» رتبهبندی میشود، یعنی بهروزرسانیها باید به سرعت نصب شوند تا از سوءاستفادهها از قبل جلوگیری شود.
Follina
در 6خرداد 1401، تیم تحقیقاتی امنیت سایبری ژاپنی nao_sec یک سند Word عجیب را در VirusTotal شناسایی کرد که دو روز قبل از یک آدرس IP در بلاروس آپلود شده بود. این maldoc حاوی کد مخربی برای استفاده از “ویژگی الگوی راه دور Word برای بازیابی [یک] فایل HTML از یک [وب سرور] از راه دور بود، که به نوبه خود از طرح ms-msdt MSProtocol URI برای بارگیری برخی از کدها و اجرای PowerShell استفاده میکند. ” اینها سخنان یکی از کارشناس امنیت سایبری است که توجه او به این مسئله جلب شد و تصمیم گرفت آن را بررسی کند.”
در واقع، این او بود که با تشخیص اینکه یک آسیبپذیری روز صفر در MSDT است، آن را Follina نامید. اما چرا این نام را برای این آسیب پذیری انتخاب کرد؟ زیرا یکی از نامهای maldoc ارجاع شده “05-2022-0438” بود. و 0438 کد منطقه فولینا در ایتالیا است.
اجازه دهید این موضوع را کمی بیشتر توضیح دهیم…
مفهوم MSDT
MSDT (ابزار تشخیصی پشتیبانی مایکروسافت) یک ابزار تشخیصی و عیب یابی است که در سیستم عامل ویندوز قرار دارد. از مستندات مایکروسافت، “یک بسته عیب یابی را در خط فرمان یا به عنوان بخشی از یک اسکریپت خودکار فراخوانی میکند و گزینه های اضافی را بدون ورودی کاربر فعال میکند.
Microsoft Word از جمله برنامه هایی است که میتواند MSDT را از طریق طرح URI پروتکل ms-msdt:/ فراخوانی کند تا بسته های عیبیاب خود را راه اندازی کند. URI (Uniform Resource Identifier) یک توالی منحصر به فرد از کاراکترها برای شناسایی یک منبع در فناوریهای وب است. برای مثال URL (Uniform Resource Locator)، یک URI است که مکان یک منبع را برای بازیابی آن فراهم میکند. طرح های URI میتوانند چندگانه باشند. از جمله آنها http://، https://، mailto: و file:// داریم. چیزی که در این مناسبت برای ما مهم است ms-msdt:/ است.
مدیریت کننده های URL
وقتی برنامهها روی ویندوز نصب میشوند، میتوانند یک URL برای راهاندازی برنامه خود با یک پیوند سفارشی ثبت کنند. ویندوز دارای بسیاری از مدیریتکنندههای URL پیشفرض برای برنامههای داخلی سیستمعامل است، از جمله یکی برای msdt.exe – ms-msdt:/.
روند استفاده از Follina
برای بهره برداری از آسیبپذیری Follina، قربانی سند Word ای که مهاجم آن را ساخته را در یک ایمیل بر اساس یک ترفند مهندسی اجتماعی دریافت میکند تا آنها را متقاعد کند که آن را باز کنند. اگرچه ممکن است یک فایل خالی باشد، اما “حاوی یک مرجع خارجی است که به یک URL مخرب اشاره میکند.” (این یک مشکل است که آفیس اجازه بارگیری بدون فیلتر از قالب های Word HTML و پیوندهای Outlook را میدهد.) از آنجا، یک دیتا با پروتکل ms-msdt:/ به دست میآید و مایکروسافت آفیس به طور خودکار آن را پردازش میکند.
یکی از محققین امنیتی متوجه شد که این اتفاق حتی زمانی که ماکروها غیرفعال هستند نیز ممکن است رخ دهد. برای مهاجم کافی بود که سند را به فرمت RTF تبدیل کند. بنابراین، حتی با فعال بودن نمای محافظت شده آفیس (که اجازه نمیدهد ماکروها روی اسناد از اینترنت اجرا شوند)، اجرای کد در حالی رخ میدهد که قربانی فقط سند را پیشنمایش میکند، یعنی بدون باز کردن آن!!!
مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده میکند، میتواند کد دلخواه خود را با امتیازات برنامه فراخوان اجرا کند. سپس این فرد مهاجم میتواند برنامهها را نصب کند، دادهها را مشاهده، تغییر یا حذف کند، یا حسابهای جدیدی را در زمینههای مجاز حقوق کاربر ایجاد کند.
بنابراین، در موردی که در بالا ذکر شد، امتیازات قربانی که فایل ورد را دریافت کرده بود، مانند امتیازاتی بود که از راه دور در اختیار مهاجم قرار داشت. شکی نیست که ما با یک آسیبپذیری بسیار خطرناک، با سطح شدت بالا (ظاهراً امتیاز CVSS 7.8) و پیامدهای گسترده روبرو هستیم.
چه کاری میتوانید در مورد آن انجام دهید؟
همانطور که گفتیم، مایکروسافت اکیداً توصیه میکند که همه کاربران بهروزرسانیها را نصب کنند تا ازاین آسیبپذیری کاملاً محافظت شوند.
مایکروسافت در راهنمایی های خود، به عنوان یک اقدام پیشگیرانه، غیرفعال کردن پروتکل URL MSDT را نیز پیشنهاد میکند. دستورالعمل آن به شرح زیر است:
- Command Prompt را به عنوان Administrator اجرا کنید.
- برای پشتیبان گیری از کلید رجیستری، دستور reg export HKEY_CLASSES_ROOT\ms-msdtfilename را اجرا کنید.
- دستور reg delete HKEY_CLASSES_ROOT\ms-msdt /f را اجرا کنید.
این مرحله دوم ضروری است تا بتوانید کلید رجیستری را با دستور reg importfilename به محض اینکه دیگر به این راه حل نیاز ندارید بازیابی کنید.
مایکروسافت همچنین به مشتریان خود توصیه میکند که آنتیویروس Microsoft Defender را برای شناسایی و توقف تهدیدها، «محافظت تحویل ابری و ارسال خودکار نمونه» را فعال کنند. علاوه بر این، باید مراقب ایمیل های ارسالی توسط فرستندگان ناشناس باشید. در مورد کسانی که فایل های مایکروسافت آفیس دارند بسیار مراقب باشید. اگر آنها را باز کنید یا حتی آنها را در حالت پیش نمایش ببینید، ممکن است در شرایط سختی قرار بگیرید.
شایان ذکر است که “میکروپچ” رایگان برای فولینا به صورت غیر رسمی توسط تیم 0patch برای ورژن های مختلف ویندوز و ویندوز سرور منتشر شده است.
کلام آخر
در مجموع مایکروسافت بسیار توصیه میکند که همه کاربران بهروزرسانیها را در اسرع وقت نصب کنند تا به طور کامل از آسیبپذیری محافظت شوند. کاربرانی که سیستمهایشان برای دریافت بهروزرسانیهای خودکار پیکربندی شدهاند، نیازی به انجام هیچ اقدام دیگری ندارند.
سعی کنید هرچه سریعتر اقدامات لازم را انجام دهید تا از حملات مرتبط با این آسیب پذیری در امان بمانید.
امیدواریم که مطالب فوق برای شما مفید بوده باشد. برای کسب اطلاعات بیشتر میتوانید بدین صفحه مراجعه کنید.
علاوه بر آن، به محض این که اطلاعات جدیدی درباره این موضوع بدست آوریم حتما با شما به اشتراک خواهیم گذاشت.
بی صبرانه منتظر نظرات، انتقادات، پرسشهای شما عزیزان هستیم.