آسیب‌پذیری فولینا: اسناد اداری بعنوان نقطه ورود

11 خرداد 1401 آسیب‌پذیری فولینا: اسناد اداری بعنوان نقطه ورود

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین آسیب‌پذیری جدی دیگری را در محصولات مایکروسافت کشف کرده‌اند که بالقوه به مهاجمین اجازه می‌دهد کد دلخواه[1] را اجرا کنند. MITRE به این آسیب‌پذیری عنوان CVE-2022-30190 را داده است و این درحالیست که محققین آن را علناً «فولینا[2]» نامیده‌اند. با ما همراه شوید تا بیشتر به ساز و کار و فولینا بپردازیم.

 

بخش تلخ ماجرا این است که هنوز راه‌حلی برای رفع این باگ در دسترس نیست و تلخ‌تر از آن اینکه این آسیب‌پذیری به طورفعالانه‌ای دارد توسط مجرمان سایبری اکسپلویت می‌شود. گرچه مدام وضعیت آن در حال به‌روزرسانی است اما توصیه ما به همه کاربران ویندوزی و ادمین‌ها این است که از راهکارهای موقتی استفاده کنند.

CVE-2022-30190 چیست و چه محصولاتی تحت‌الشعاع قرار گرفته‌اند؟

آسیب‌پذیری CVE-2022-30190 در MSDT پیدا شده یعنی همان ابزار تشخیصی پشتیبانی ویندوز مایکروسافت[3] که به نظر شاید خیلی هم مهم نیاید اما متأسفانه این ابزار به محض پیاده‌سازی می‌تواند باعث شود آسیب‌پذیری از طریق داکیومنت آلوده آفیس اکسپلویت شود. MSDT در واقع اپی است که برای جمع‌آوری خودکار اطلاعات تشخیصی و ارسال آن به مایکروسافت وقتی یک جای ویندوز ایراد پیدا می‌کند استفاده می‌شود. این ابزار توسط اپ‌های دیگر هم بوسیله پروتکل ویژه MSDT URL فراخوانده می‌شود (برنامه ورد مایکروسافت محبوب‌ترین نمونه است). اگر این آسیب‌پذیری با موفقیت اکسپلویت شود مهاجم قادر خواهد بود کد دلخواه را با مزیت‌های اپ که به MSDT مربوط می‌شوند اجرا کند- یعنی در این صورت حقوق کاربری که فایل آلوده را باز کرده به دست مهاجم می‌افتد. آسیب‌پذیری CVE-2022-30190 را می‌شود در همه سیستم‌عامل‌های خانواده ویندوز اکسپویت کرد (هم دسکتاپ هم سرور).

چطور مهاجمین CVE-2022-30190 را اکسپلویت می‌کنند؟

محققین به منظور نمایش حمله سناریوی زیر را شرح می‌دهند: مهاجمین یک داکیومنت مخرب آفیس درست می‌کنند و آن را به دست قربانی می‌رسانند. شایع‌ترین روش انجام این کار ارسال ایمیلی است با پیوست آلوده که کمی چاشنی توطئه‌ی مهندسی اجتماعی نیز برای متقاعد کردن گیرنده ایمیل برای باز کردن فایل بدان اضافه شده است. چیزی مانند «سریعاً قرارداد را بررسی کنید و برای فردا صبح امضا نمایید». ترفندی رایج برای شتابزده عمل کردن کاربر. فایل آلوده حاوی لینکی است به فایل html که در خود کد جاوااسکریپتی دارد که کد مخرب را از طریق MSDT در کد فرمان اجرا می‌کند. در نتیجه‌ی یک اکسپلویت موفق مهاجمین می‌توانند برنامه‌ها را نصب کرده، داده‌ها را دیده، دستکاری کرده و یا از بین ببرند؛ همینطور اکانت‌های تازه بسازند که این یعنی ممکن است همه مزیت‌های قربانی در سیستم در اختیار مهاجم قرار خواهد گرفت.

راهکارهای امنیتی

همانطور که در ابتدا عرض کردیم، هنوز پچی برای این آسیب‌پذیری وجود ندارد. برای رعایت جانب امنیت، مایکروسافت توصیه می‌کند پروتکل MSDT URL را غیرفعال کنید. برای انجام این کار باید فرمانی را با حقوق ادمین اجرا کرد و سپس دستور HKEY_CLASSES_ROOT\ms-msdt /f را اجرا کنید. قبل از انجام این کار شاید بد نباشد با اجرای اکسپورت رگ HKEY_CLASSES_ROOT\ms-msdt filename از رجیستری بک‌آپ بگیرید. بدین‌ترتیب می‌توانید سریعاً با فرمان فایل‌نیم ورودی رگ، رجیستری را بازیابی کنید. البته این راهکار موقتی است و باید آپدیتی را نصب کرد که بتواند آسیب‌پذیری Follina را کامل ببندد. به محض انتشار آپدیت آن را با شما دوستان به اشتراک خواهیم گذاشت. متودهای اکسپویت فوق‌الذکر شامل استفاده از ایمیل‌ها با پیوست آلوده و روش‌های مهندسی اجتماعی می‌شود. از این رو توصیه می‌کنیم بیش از هر زمان دیگری حواستان به ایمیل‌هایی که فرستنده‌شان ناشناس است باشد؛ خصوصاً آن‌هایی که پیوستشان داکیومنت‌های مایکروسافت آفیس است. توصیه‌مان به شرکت‌ها این است که به کارمندان خود در خصوص ترفندهای هکرها در این خصوص آگاهی و آموزش داده شود. افزون بر این توصیه می‌کنیم هم شرکت‌ها هم کاربران از نصب راهکارهای امنیتی قوی و قابل‌اعتماد غافل نشوند. حتی وقتی کسی دارد آسیب‌پذیری ناشناخته‌ای را اکسپلویت می‌کند چنین راهکارهایی می‌توانند جلوی اجرا شدن کد مخرب را روی دستگاه کاربر بگیرند.

 

[1] arbitrary code

[2] Follina

[3] Microsoft Windows Support Diagnostic Tool

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    5,321,810 ریال10,643,620 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,772,810 ریال3,545,620 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    7,096,310 ریال14,192,620 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,320,120 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,320,120 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    7,094,620 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    12,776,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد