Ερευνητές αποκάλυψαν δημόσια μια zero-day ευπάθεια στο Microsoft Office που μπορεί να αξιοποιηθεί χρησιμοποιώντας κακόβουλα έγγραφα του Word με αποτέλεσμα να εκτελεστεί κακόβουλος κώδικας στο σύστημα του θύματος
Η ευπάθεια αποκαλύφθηκε αρχικά από τον χρήστη @nao_sec στο Twitter στις 27 Μαΐου και όπως αναφέρει σε ανάρτηση που έκανε στο Twitter :
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Ο Beaumont αναφέρει ότι οι επιτιθέμενοι μπορούν να εκμεταλλευτούν αυτήν την ευπάθεια, την οποία έχει ονομάσει “Follina”, ακόμη και αν τα macros του Office είναι απενεργοποιημένα. Τα Office 2013, 2016, 2019, 2021 και ορισμένες εκδόσεις του Office που προσφέρονται μέσω του Microsoft 365 είναι ευάλωτα τόσο στα Windows 10 όσο και στα Windows 11.
Ο Διευθύνων Σύμβουλος της Huntress Labs, Kyle Hanslovan, μας έδειξε πως συμβαίνει αυτό χρησιμοποιώντας ένα Rich Text File για την εκμετάλλευση αυτής της ευπάθειας από το παράθυρο προεπισκόπησης στην Εξερεύνηση αρχείων των Windows 11:
A lot of folks have pointed out that Protected Mode is required when opening the Word doc. Just a reminder that formatting as a Rich Text File allows exploitation when Explorer's preview pane option is enabled (no Enable Editing button either 😉 #Follina #MSDT https://t.co/ZUj5WXeWjN
— Kyle Hanslovan (@KyleHanslovan) May 30, 2022
Όλα αυτά σημαίνουν ότι αυτή η ευπάθεια δίνει την δυνατότητα εκτέλεσης κώδικα μόνο με ένα κλικ, (ή απλώς κάνοντας προεπισκόπηση του κακόβουλου εγγράφου) χρησιμοποιώντας εργαλεία υποστήριξης (ms-msdt) και εργαλεία διαχείρισης συστήματος (PowerShell) που είναι προ-εγκατεστημένα στα Windows.
Ο @crazyman_army ανέφερε στο Twitter ότι αυτή η ευπάθεια έγινε γνωστή στη Microsoft στις 12 Απριλίου, αλλά στις 21 Απριλίου η ίδια φέρεται να αποφάσισε ότι δεν εγείρονταν θέματα ασφαλείας.
Ο Beaumont λέει ότι “η Microsoft μπορεί να προσπάθησε να το διορθώσει ή να το διόρθωσε κατά λάθος στο Office 365 Insider, χωρίς να τεκμηριώσει κάποιο CVE ή να το αναφέρει κάπου”, κάποια στιγμή τον Μάιο.
To Huntress Labs λέει ότι αναμένει “απόπειρες εκμετάλλευσης μέσω email” και σημειώνει ότι οι χρήστες “θα πρέπει να είναι ιδιαίτερα προσεκτικοί σχετικά με το άνοιγμα συνημμένων”, ενώ η Microsoft, οι εταιρείες antivirus και η υπόλοιπη κοινότητα ασφάλειας ανταποκρίνεται σε αυτή την απειλή.
Η Microsoft δεν απάντησε αμέσως σε αίτημα του PCMag για σχολιασμό επί του θέματος.
Μην ξεχάσετε να ακολουθήσετε το Xiaomi-miui.gr στο Google News για να ενημερώνεστε αμέσως για όλα τα νέα άρθρα μας ! Μπορείτε επίσης αν χρησιμοποιείτε RSS reader, να προσθέσετε την σελίδα μας στη λίστα σας, ακολουθώντας απλά αυτό τον σύνδεσμο >> https://xiaomi-miui.gr/feed/gn
Ακολουθήστε μας και στο Telegram ώστε να μαθαίνετε από τους πρώτους την κάθε μας είδηση!