Windows MSDT zero-day теперь используется APT-хакерами
В настоящее время активно используется уязвимость нулевого дня Microsoft Office (известную как Follina) для удаленного выполнения вредоносного кода в системах Windows.
Описанная Microsoft как уязвимость удаленного выполнения кода в средстве диагностики поддержки Microsoft Windows (MSDT) и отслеживаемая как CVE-2022-30190, она затрагивает все клиентские и серверные платформы Windows, которые все еще получают обновления безопасности (Windows 7 или более поздние версии и Windows Server 2008 или потом).
Активно эксплуатируется в дикой природе
Группа TA413 APT, хакерская организация, использовала эту уязвимость для атак на свою излюбленную цель — международное тибетское сообщество.
Как заметили 30 мая исследователи безопасности Proofpoint, теперь они используют эксплойты CVE-2022-30190 для выполнения вредоносного кода через протокол MSDT, когда цели открывают или предварительно просматривают документы Word, доставленные в ZIP-архивы.
«TA413 CN APT обнаружила, что ITW использует Follina 0Day, используя URL-адреса для доставки Zip-архивов, содержащих документы Word, использующие этот метод», — сообщила сегодня компания Proofpoint, занимающаяся корпоративной безопасностью.
Исследователь безопасности MalwareHunterTeam также обнаружил, что документы DOCX с именами файлов на китайском языке используются для установки вредоносных полезных нагрузок, обнаруженных как трояны для кражи паролей через http://coolrat[.]xyz.
Доступно смягчение
«Злоумышленник, который успешно воспользуется этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения», — поясняет Microsoft в новом руководстве, выпущенном сегодня, чтобы предоставить администраторам меры по смягчению последствий.
«Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».
https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Описанная Microsoft как уязвимость удаленного выполнения кода в средстве диагностики поддержки Microsoft Windows (MSDT) и отслеживаемая как CVE-2022-30190, она затрагивает все клиентские и серверные платформы Windows, которые все еще получают обновления безопасности (Windows 7 или более поздние версии и Windows Server 2008 или потом).
Активно эксплуатируется в дикой природе
Группа TA413 APT, хакерская организация, использовала эту уязвимость для атак на свою излюбленную цель — международное тибетское сообщество.
Как заметили 30 мая исследователи безопасности Proofpoint, теперь они используют эксплойты CVE-2022-30190 для выполнения вредоносного кода через протокол MSDT, когда цели открывают или предварительно просматривают документы Word, доставленные в ZIP-архивы.
«TA413 CN APT обнаружила, что ITW использует Follina 0Day, используя URL-адреса для доставки Zip-архивов, содержащих документы Word, использующие этот метод», — сообщила сегодня компания Proofpoint, занимающаяся корпоративной безопасностью.
Исследователь безопасности MalwareHunterTeam также обнаружил, что документы DOCX с именами файлов на китайском языке используются для установки вредоносных полезных нагрузок, обнаруженных как трояны для кражи паролей через http://coolrat[.]xyz.
Доступно смягчение
«Злоумышленник, который успешно воспользуется этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения», — поясняет Microsoft в новом руководстве, выпущенном сегодня, чтобы предоставить администраторам меры по смягчению последствий.
«Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».
Вы можете заблокировать атаки, использующие CVE-2022-30190, отключив использование злоумышленниками протокола URL-адресов MSDT для запуска средств устранения неполадок и выполнения кода на уязвимых системах.
Вам также рекомендуется отключить панель предварительного просмотра в проводнике Windows, поскольку это еще один вектор атаки, который можно использовать, когда цели просматривают вредоносные документы.
Сегодня CISA также призвала администраторов и пользователей отключить протокол MSDT на своих устройствах Windows после того, как Microsoft сообщила об активном использовании этой уязвимости в реальных условиях.
https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
Microsoft поделилась мерами по смягчению последствий для блокировки атак, использующих недавно обнаруженную уязвимость нулевого дня Microsoft Office, которая используется в дикой природе для удаленного выполнения вредоносного кода.
Об ошибке, описанной Редмондом как уязвимость удаленного выполнения кода Microsoft Windows Support Diagnostic Tool (MSDT) и отслеживаемой как CVE-2022-30190, сообщил crazyman из Shadow Chaser Group.
Microsoft заявляет, что уязвимость затрагивает все версии Windows, которые до сих пор получают обновления безопасности (Windows 7+ и Server 2008+).
Как обнаружил исследователь безопасности nao_sec, злоумышленники используют его для выполнения вредоносных команд PowerShell через MSDT, что Редмонд описывает как атаки с выполнением произвольного кода (ACE) при открытии или предварительном просмотре документов Word.
«Злоумышленник, который успешно воспользуется этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения», — поясняет Microsoft.
«Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».
Доступный обходной путь
По словам Редмонда, администраторы и пользователи могут блокировать атаки с использованием CVE-2022-30190, отключив URL-протокол MSDT, который злоумышленники используют для запуска средств устранения неполадок и выполнения кода в уязвимых системах.
Чтобы отключить протокол URL-адресов MSDT на устройстве Windows, вам необходимо выполнить следующую процедуру:
Запустите командную строку от имени администратора.
Чтобы создать резервную копию ключа реестра, выполните команду «reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg».
Выполните команду «reg delete HKEY_CLASSES_ROOT\ms-msdt /f»
После того, как Microsoft выпустит исправление CVE-2022-30190, вы сможете отменить обходной путь, запустив командную строку с повышенными привилегиями и выполнив команду reg import ms-msdt.reg (имя файла — это имя резервной копии реестра, созданной при отключении протокола).
Антивирусная программа Microsoft Defender 1.367.719.0 или более поздней версии теперь также содержит средства обнаружения возможного использования уязвимостей по следующим сигнатурам:
Троян:Win32/Mesdetty.A
Троян:Win32/Mesdetty.B
Поведение: Win32/MesdettyLaunch.A
Поведение: Win32/MesdettyLaunch.B
Поведение: Win32/MesdettyLaunch.C
В то время как Microsoft заявляет, что Protected View и Application Guard в Microsoft Office будут блокировать атаки CVE-2022-30190, аналитик уязвимостей CERT/CC Уилл Дорманн (и другие исследователи) обнаружил, что функция безопасности не блокирует попытки эксплуатации, если цель предварительно просматривает вредоносные документы в Проводнике Windows.
Поэтому также рекомендуется отключить панель предварительного просмотра в проводнике Windows, чтобы также удалить этот вектор атаки.
По словам crazyman из Shadow Chaser Group, исследователи, которые первыми обнаружили и сообщили о нулевом дне в апреле, Microsoft сначала пометила недостаток как не «проблему, связанную с безопасностью». Тем не менее, позже он закрыл отчет о представлении уязвимости, влияющий на удаленное выполнение кода.
https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-office-zero-day-exploited-in-attacks/
Исследователи безопасности обнаружили новую уязвимость нулевого дня в Microsoft Office, которая используется в атаках для выполнения вредоносных команд PowerShell с помощью средства диагностики Microsoft (MSDT), просто открывая документ Word.
Уязвимость, которая еще не получила номер для отслеживания и упоминается сообществом информационной безопасности как «Фоллина», используется с использованием вредоносных документов Word, которые выполняют команды PowerShell через MSDT.
Microsoft Office нулевого дня найден случайно
В прошлую пятницу исследователь безопасности nao_sec обнаружил вредоносный документ Word, отправленный на платформу сканирования Virus Total с IP-адреса в Беларуси.
«Я искал файлы на VirusTotal, которые использовали CVE-2021-40444. Затем я нашел файл, который злоупотребляет схемой ms-msdt», — сказал nao_sec BleepingComputer в разговоре.
«Он использует внешнюю ссылку Word для загрузки HTML, а затем использует схему «ms-msdt» для выполнения кода PowerShell», — добавил исследователь в твите, опубликовав скриншот запутанного кода ниже.
Исследователь безопасности Кевин Бомонт расшифровал код и объяснил в своем блоге, что это строка командной строки, которую Microsoft Word выполняет с помощью MSDT, даже если макроскрипты отключены.
Приведенный выше сценарий PowerShell извлечет файл в кодировке Base64 из файла RAR и выполнит его. Этот файл больше недоступен, поэтому неясно, какие вредоносные действия были выполнены атакой.
Бомонт уточняет, что вредоносный документ Word использует функцию удаленного шаблона для извлечения HTML-файла с удаленного сервера.
Затем HTML-код использует схему протокола Microsoft MS-MSDT URI для загрузки дополнительного кода и выполнения кода PowerShell.
Исследователь добавляет, что функция защищенного просмотра в Microsoft Office, предназначенная для оповещения о файлах из потенциально небезопасных мест, активируется для предупреждения пользователей о возможности наличия вредоносного документа.
Однако это предупреждение можно легко обойти, изменив документ на файл в формате Rich Text Format (RTF). Таким образом, запутанный код может работать «даже без открытия документа (через вкладку предварительного просмотра в Проводнике)».
Исследователи воспроизвели нулевой день
Несколько исследователей безопасности проанализировали вредоносный документ, которым поделился nao_sec, и успешно воспроизвели эксплойт с несколькими версиями Microsoft Office.
На момент написания статьи исследователи подтвердили наличие уязвимости в Office 2013, 2016, Office Pro Plus с апреля (в Windows 11 с майскими обновлениями) и исправленной версии Office 2021:
Сегодня в отдельном анализе исследователи из компании Huntress, занимающейся предоставлением услуг кибербезопасности, проанализировали эксплойт и предоставили более подробную техническую информацию о том, как он работает.
Они обнаружили, что HTML-документ, приводящий в движение все, пришел из «xmlformats[.]com», домена, который больше не загружается.
Хантресс подтвердил вывод Бомонта о том, что документ в формате RTF доставляет полезную нагрузку без какого-либо взаимодействия с пользователем (кроме его выбора), что обычно называют «эксплуатацией без щелчка».
Исследователи говорят, что в зависимости от полезной нагрузки злоумышленник может использовать этот эксплойт для доступа к удаленным местам в сети жертвы.
Это позволит злоумышленнику собрать хэши паролей Windows-машин жертвы, которые будут полезны для дальнейшей деятельности после эксплуатации.
Обнаружение может быть сложным
Бомонт предупреждает, что обнаружение этого нового метода эксплуатации «вероятно, не будет хорошим», утверждая, что вредоносный код загружается из удаленного шаблона, поэтому перенос документа Word не будет помечен как угроза, поскольку он не содержит вредоносных программ. код, просто ссылка на него.
Чтобы обнаружить атаку по этому вектору, Huntress указывает на процессы мониторинга в системе, поскольку полезная нагрузка Follina создает дочерний процесс «msdt.exe» в родительском Microsoft Office, нарушившем правила.
«Кроме того, процесс sdiagnhost.exe будет порожден дочерним элементом conhost.exe и его последующими процессами полезной нагрузки» — Huntress.
Организациям, полагающимся на правила Microsoft Defender Attack Surface Reduction (ASR), Huntress рекомендует активировать «Блокировать все приложения Office от создания дочерних процессов» в блочном режиме, что предотвратит эксплойты Follina.
Перед использованием ASR рекомендуется сначала запустить правило в режиме аудита и отследить результаты, чтобы убедиться, что конечные пользователи не испытывают неблагоприятных последствий.
Еще одно смягчение, предложенное Дидье Стивенсом, заключается в удалении сопоставления типов файлов для ms-msdt, чтобы Microsoft Office не мог вызывать этот инструмент при открытии вредоносного документа Folina.
https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/
Европейские правительства и местные органы власти США стали объектами фишинговой кампании с использованием вредоносных документов в формате Rich Text Format (RTF), разработанных для использования критической уязвимости нулевого дня Windows, известной как Follina.
BleepingComputer известно о местных органах власти как минимум в двух штатах США, которые стали мишенью этой фишинговой кампании.
«Proofpoint заблокировала предполагаемую фишинговую кампанию, связанную с государством, нацеленную на менее чем 10 клиентов Proofpoint (государственные органы Европы и местные органы власти США), которые пытались использовать Follina/CVE_2022_30190», — сообщили исследователи безопасности из компании Proofpoint, занимающейся корпоративной безопасностью.
Злоумышленники использовали обещания о повышении зарплаты, чтобы заманить сотрудников открыть документы-приманки, которые развернули скрипт Powershell в качестве конечной полезной нагрузки.
Это используется для проверки того, является ли система виртуальной машиной, для кражи информации из нескольких веб-браузеров, почтовых клиентов и файловых служб, а также для сбора системной информации, которая эксфильтрируется на сервер, контролируемый злоумышленниками.
Злоумышленники собирают большое количество информации, раскрывающей характер разведывательной атаки этой кампании, поскольку собранные данные могут использоваться для первоначального доступа:
Пароли браузеров: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc и AVAST Browser.
Данные из других приложений: Mozilla Thunderbird, файлы сеанса Netsarang, контакты Windows Live Mail, пароли Filezilla, файл конфигурации ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
Информация Windows: информация о компьютере, список имен пользователей, информация о домене Windows.
Уязвимость, используемая в этих атаках, отслеживается как CVE-2022-30190 и была описана Редмондом как ошибка удаленного выполнения кода Microsoft Windows Support Diagnostic Tool (MSDT).
CVE-2022-30190 по-прежнему не исправлена и влияет на все версии Windows, которые все еще получают обновления безопасности (например, Windows 7+ и Server 2008+).
В случае успешного использования этот нулевой день может быть использован для выполнения произвольного кода с привилегиями вызывающего приложения для установки программ, просмотра, изменения, удаления данных или создания новых учетных записей Windows.
Хотя Microsoft еще не выпустила исправления CVE-2022-30190, CISA призвала администраторов и пользователей Windows отключить протокол MSDT, используемый в этих атаках, после того, как Microsoft сообщила об активном использовании ошибки в дикой природе.
Пока Microsoft не выпустит официальные обновления безопасности, вы можете исправить свои системы для защиты от этих продолжающихся атак, используя неофициальные исправления, выпущенные службой микропатчинга 0patch.
https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/
Критическая уязвимость нулевого дня Windows, известная как Follina и все еще ожидающая официального исправления от Microsoft, в настоящее время активно используется в продолжающихся фишинговых атаках для заражения получателей вредоносным ПО Qbot.
Proofpoint впервые сообщила в понедельник, что один и тот же нулевой день использовался для фишинга, нацеленного на правительственные учреждения США и ЕС.
Как сообщили сегодня исследователи безопасности Proofpoint, партнер TA570 Qbot теперь начал использовать вредоносные документы Microsoft Office .docx, чтобы злоупотреблять уязвимостью безопасности Follina CVE-2022-30190 и заражать получателей с помощью Qbot.
Злоумышленники используют захваченные сообщения электронной почты с вложениями HTML, которые будут загружать ZIP-архивы, содержащие файлы IMG. Внутри IMG цели найдут файлы DLL, Word и ярлыки.
В то время как файл ярлыка напрямую загружает DLL-файл Qbot, уже присутствующий в образе диска IMG, пустой документ .docx обращается к внешнему серверу для загрузки HTML-файла, который использует уязвимость Follina для запуска кода PowerShell, который загружает и выполняет другие Qbot DLL payload
В апреле, после того как Microsoft начала развертывать функцию автоматической блокировки макросов VBA для пользователей Office для Windows, злоумышленники перестали использовать документы Microsoft Office с вредоносными макросами и переключились на защищенные паролем вложения ZIP-архивов с вредоносными пакетами MSI Windows Installer.
Proofpoint обнаружила, что #TA570 использует CVE-2022-30190 для доставки вредоносного ПО #Qbot. Актер использует перехваченные потоком сообщения с вложениями HTML, которые при открытии сбрасывают zip-архив.
Что такое Qbot?
Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) — это модульный банковский троян для Windows с возможностями червя для заражения большего количества устройств в скомпрометированных сетях с помощью эксплойтов сетевых ресурсов и агрессивных атак методом грубой силы на учетные записи администратора Active Directory.
Это вредоносное ПО для кражи информации использовалось по крайней мере с 2007 года для сбора банковских учетных данных, личной информации и финансовых данных, а также для взлома взломанных компьютеров и развертывания маяков Cobalt Strike.
Партнеры по программам-вымогателям, связанные с несколькими операциями программы-вымогателя как услуги (RaaS) (включая REvil, PwndLocker, Egregor, ProLock и MegaCortex), также использовали Qbot для первоначального доступа к корпоративным сетям.
В декабре 2021 года Microsoft опубликовала отчет об универсальности атак Qbot, что затрудняет точную оценку масштабов его заражений.
https://www.bleepingcomputer.com/news/security/qbot-malware-now-uses-windows-msdt-zero-day-in-phishing-attacks/