vip彩票

让梦想从这里开始

因为有了梦想,我们才能拥有奋斗的目标,而这些目标凝结成希望的萌芽,在汗水与泪水浇灌下,绽放成功之花。

新闻资讯

微软公司发布了应对 0 day 漏洞主动攻击的变通方法

发布日期:2022-06-11 21:14    点击次数:84

  

研究人员表示,微软发布了针对于 4 月首次标记的 0 day 漏洞的变通办法。根据研究显示,攻击者已经习惯于针对俄罗斯和西藏的政府组织发动攻击。

跟踪为 CVE-2022-3019 的远程控制执行(RCE)缺陷与 Microsoft Support 诊断工具(MSDT)有关,但具有讽刺意味的是,该工具本身被设计用于收集有关公司产品中错误的信息,并向 Microsoft Support 报告。

微软表示,如果该漏洞被攻击者成功利用,他们则可以在用户权限允许的上下文中安装程序、查看、更改或删除数据或创建新帐户。

微软在关于微软安全响应中心的指南中承认:" 当使用 Word 等调用应用程序的 URL 协议调用 MSDT 时,存在远程代码执行漏洞的情况。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。"

微软的变通办法是在漏洞首次显露出后被发现大约六周后出现的。据研究公司 Recorded Future 的 The Record 称,Shadow Chaser Group 的研究人员于 4 月 12 日在 2020 年 8 月的一篇学士学位论文中注意到了这一点——攻击者显然是针对俄罗斯用户——并于 4 月 21 日向微软报告。

该公司周末在推特上的一篇帖子中表示,Malwarebytes 威胁情报分析师也在 4 月份发现了这一缺陷,但无法完全识别,并转发了 4 月 12 日 @h2jazi 发布的关于该漏洞的原始帖子。

当上述人员对微软报告缺陷时,微软并不认为这是一个问题。但是从现在的视角看,很明显,该公司错了,该漏洞再次引起了日本安全供应商 Nao Sec 研究人员的注意,他在周末在推特上发布了关于它的新警告,指出它正被用于针对白俄罗斯的用户。

在周末的分析中,著名的安全研究员 Kevin Beaumont 将漏洞称为 "Follina",并解释了 0 day 代码引用了总部位于意大利的 Follina 区号 -0438。

当前的变通办法

尽管尚未设计出该缺陷的补丁,但微软建议受影响的用户暂时禁用 MSDT URL 用以减少由于该缺陷所导致的风险。微软在公告中写道,这 " 防止了故障排除程序作为包括整个操作系统链接的链接推出 "。

为此,用户必须按照以下步骤操作:运行 ":作为管理员命令提示 ";通过执行命令 "reg export HKEY_CLASSES_ROOTms-msdt 文件名 " 来备份注册表密钥;并执行命令 "reg delete HKEY_CLASSES_ROOTms-msdt /f"。

该公司表示:" 用户仍然可以使用 " 获取帮助 " 应用程序和系统设置中作为其他或额外的故障排除程序访问故障排除程序。" 此外,微软表示,如果调用应用程序是 Office 应用程序,那么默认情况下,Office 将在保护视图和 Office 应用程序保护中从互联网上打开文档,而两者都可以防止当前可能发生的攻击。但是,博蒙特在分析该错误时驳斥了这一保证。

根据公告,微软还计划更新 CVE-2022-3019,但未具体说明何时会这样做。

重大风险

与此同时,Beaumont 和其他研究人员指出,由于多种原因,未修补的缺陷构成了重大风险。

一个是,它影响了如此多的广泛的用户,因为该漏洞存在于目前所有的 Windows 版本中,并且可以通过 Microsoft Office 2013 到 Office 2019、Office 2021、Office 365 和 Office ProPlus 被攻击者利用。

首席技术官兼安全公司 Votiro 的创始人 Aviv Grafi 在给 Threatpost 的一封电子邮件中写道:" 每个处理内容、文件和特定 Office 文件的组织,基本上是全球每个人,目前都面临这种威胁。"

Beaumont 和 Grafi 都表示,该缺陷构成重大威胁的另一个原因是,在没有最终用户采取行动的情况下执行该缺陷。Grafi 解释说,一旦从调用应用程序加载 HTML,MSDT 方案将用于执行 PowerShell 代码以运行恶意有效负载。

Beaumont 说,由于该漏洞是滥用 Microsoft Word 中的远程模板功能,因此它不依赖于典型的基于宏的利用路径,而这在基于 Office 的攻击中很常见。

Grafi 同意:" 使这个漏洞如此难以避免的是,最终用户不必启用宏即可执行代码,这使得它成为通过 MSDT 使用的‘零点击’远程代码执行技术。"

在主动攻击下

安全公司 Tenable 的高级研究工程师 Claire Tills 将这一漏洞与去年的零点击 MSHTML 错误进行了比较,该错误被跟踪为 CVE-2021-40444,该错误被包括 Ryuk 勒索软件帮在内的攻击者重复使用,给用户带来了极大的损失。

她在给 Threatpost 的电子邮件中写道:" 鉴于 CVE-2022-30190 和 CVE-2021-40444 之间的相似之处,以及研究人员推测其他协议处理程序也可能很脆弱,我们预计会看到这个问题的进一步发展以及被攻击者的利用尝试。"

事实上,威胁行为者已经突袭了漏洞。周一,Proofpoint Threat Insight 还在推特上表示,威胁行为者正在利用这一缺陷来瞄准西藏的组织,冒充中华人民共和国西藏政府的 " 妇女赋权服务台 "。

此外,Grafi 表示,微软目前为自己提供的变通方法存在问题,从长远来看不会提供太多的修复方法,特别是在受到攻击的错误时。他说,变通办法 " 对管理员不友好 ",因为它涉及 " 最终用户端点注册表的更改 "。



Powered by vip彩票 @2013-2022 RSS地图 HTML地图