خلاصه: آسیبپذیری روز صفر در مایکروسافت آفیس به مهاجمان اجازه میدهد تا کدهای مخرب را بر روی سیستمهای هدف از طریق نقص ویژگی قالبهای Word از راه دور اجرا کنند.
هشدار این آسیبپذیری از طرف فروشنده امنیتی ژاپنی Nao Sec است که در توییتر هشداری درباره روز صفر در آخر هفته منتشر کرد. کوین بومونت، محقق امنیتی برجسته، این آسیبپذیری را Follina نامید و توضیح داد که کد روز صفر به کد منطقه ایتالیایی Follina – 0438 اشاره میکند. بومونت اشاره کرد که این نقص از ویژگی remote template در مایکروسافت ورد سوءاستفاده میکند و به مسیر اکسپلویت معمولی مبتنی بر ماکرو، که در حملات مبتنی بر آفیس رایج است، وابسته نیست. به گفته Nao Sec، یک نمونه اخیر از این اشکال در قالب سند Word و پیوندهایش بع IP در جمهوری بلاروس یافت شد.
مشخص نیست که اشکال روز صفر به طور فعال توسط دشمنان مورد استفاده قرار گرفته است یا خیر. کد اثباتی وجود دارد که نشان میدهد نسخههای آفیس از سال ۲۰۰۳ تا نسخههای فعلی در برابر حمله آسیب پذیر هستند. در همین حال، محققان امنیتی اظهار داشتند که کاربران میتوانند اقدامات کاهش سطح حمله مایکروسافت را برای کاهش خطر، به جای یک وصله، دنبال کنند.
کار Follina
محققان Nao Sec توضیح میدهند که مسیر آسیبپذیری شامل قالب مخربی است که اکسپلویتی را از طریقHTML از یک سرور راه دور load میکند. HTML لود (load) شده از طرح URI MSProtocol "ms-msdt" برای لود کردن و اجرای یک قطعه کد PowerShell استفاده میکند. از پیوند خارجی Word برای لود کردن HTML استفاده میشود و سپس از طرح ms-msdt برای اجرای کد PowerShell استفاده می کند.
MSDT مخفف Microsoft Support Diagnostic Tool است و اطلاعات و گزارشها را به پشتیبانی مایکروسافت جمعآوری میکند. این دیباگر عیبیابی اطلاعات جمعآوریشده را تجزیه و تحلیل میکند و سعی میکند راهحلی برای hiccups تجربهشده توسط کاربر پیدا کند. بومونت دریافت که این نقص به کد اجازه می دهد تا از طریق MSDT اجرا شود، «حتی اگر ماکروها غیرفعال باشند»!
بومونت در ادامه تأیید کرد که این سوءاستفاده در حال حاضر بر نسخههای قدیمیتر مایکروسافت آفیس ۲۰۱۳ و ۲۰۱۶ و تشخیص نقطه پایانی «اجرای از دست رفته (missed execution) » بدافزار تأثیر میگذارد. تحقیقات بیشتر نشان داد که این آسیبپذیری حتی بر آخرین نسخه مایکروسافت آفیس نیز تأثیر میگذارد. یکی دیگر از محققین امنیتی دیدیه استیونز اشاره کرد که از باگ Follina در نسخه اصلاح شده آفیس ۲۰۲۱ سوءاستفاده کرده است و جان هاموند محقق امنیت سایبری توئیت اثبات کار Follina را منتشر کرده است.
کاربران مایکروسافت با مجوزهای E5 میتوانند با افزودن کوئری نقطه پایانی به Defender، این اکسپلویت را شناسایی کنند. علاوه بر این، وارن استفاده از قوانین کاهش سطح حمله (ASR) را برای جلوگیری از ایجاد فرآیندهای فرزند توسط برنامههای آفیس پیشنهاد میکند. به گزارش threatpost نیز نسخههای جدید آفیس نیز تحت تاثیر این باگ قرار گرفتهاند.