フォッリーナ, 現在は CVE-2022-30190 (緩和策も利用可能です), 新しいの名前です ゼロデイ 任意のコード実行攻撃に悪用される可能性のあるMicrosoftOffice.
脆弱性はnao_sec研究チームによって発掘されました, ベラルーシのIPアドレスからVirusTotalにアップロードされたWordドキュメントの発見に続いて. 研究者は投稿しました 一連のツイート 彼らの発見の詳細. この脆弱性は、Microsoft Wordの外部リンクを利用してHTMLをロードし、'ms-msdtを使用します。’ PowerShellコードを実行するスキーム.
この問題が4月にMicrosoftによってセキュリティ以外の脆弱性として最初に説明されたことは注目に値します。, ShadowChaserGroupのセキュリティ研究者が公共のエクスプロイトを観察したと報告した後. 問題が野生で積極的に悪用されたことを認めているにもかかわらず, マイクロソフトはそれをゼロデイとは言いませんでした.
Follinaゼロデイ脆弱性: 詳細
この脆弱性は、有名なサイバーセキュリティ研究者のKevinBeaumontによって「Follina」と呼ばれていました。. 「このドキュメントでは、Wordのリモートテンプレート機能を使用して、リモートWebサーバーからHTMLファイルを取得しています。, 次に、ms-msdt MSProtocol URIスキームを使用して、コードをロードし、PowerShellを実行します。,」彼の分析によると.
「ここではたくさんのことが起こっています, しかし、最初の問題は、MicrosoftWordがmsdtを介してコードを実行していることです (サポートツール) マクロが無効になっている場合でも. 保護されたビューが開始されます, ただし、ドキュメントをRTF形式に変更した場合, ドキュメントを開かなくても実行されます (エクスプローラーのプレビュータブから) 保護されたビューは言うまでもなく,」ボーモントは付け加えた.
すぐに言った, ゼロデイ攻撃により、さまざまなMicrosoft製品でコードを実行できます, さまざまな攻撃シナリオで悪用される可能性があります. さらに, この脆弱性は「マクロを無効にするという境界を打ち破る,」ベンダーの検出が非常に悪い.
研究者はさまざまなマシンでゼロデイをテストしました, そしてそれは多くの場合に機能します. 例えば, 脆弱性はWindowsで機能します 10 ローカル管理者でなく、マクロが無効になっている, Defenderを配置します. でも, それはしません;Insiderおよび現在のバージョンのMicrosoftOfficeで動作します, これは、会社が脆弱性を公に言及することなく、脆弱性を強化または修正するために何かをした可能性があることを意味します, ボーモントは言った, 5月に起こった可能性があります 2022.
「もう1つの完全に可能なオプションは、私がそれらのバージョンでそれを悪用するにはあまりにも馬鹿であるということです, そして、私はちょうど何かを台無しにしました," 彼が追加した. 欠陥はOfficeに存在することに言及する必要があります 2013 と 2016. 多くの企業が暴露される可能性があります, 企業がOfficeの古いチャネルを使用するのが一般的であるため 365 およびProPlus.
“マイクロソフトは、さまざまな製品すべてにパッチを適用する必要があります, とセキュリティベンダーは、堅牢な検出とブロッキングが必要になります,” 研究者 結論.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: