محمد حسین نوری
محمد حسین نوری
خواندن ۲ دقیقه·۳ سال پیش

جدید ترین آسیب پذیری مایکروسافت | آسیب پذیری Follina


آسیب پذیری جدید محصولات مایکروسافتی با نام Follina

فولینا، جدید ترین آسیب پذیری Microsoft است که با CVE-2022-30190 نام گذاری شده است و در تاریخ 2022/05/31 کشف شده است که باعث ایجاد دسترسی RCE (Remote Code Execution) میشود که بسیار آسیب پذیری خطرناکی میباشد.

آسیب پذیری در محصولات مایکروسافتی
آسیب پذیری در محصولات مایکروسافتی


وقتی در محصولات مایکروسافتی مثل Word, Outlook, Excel از مبحث Remote Template Feature استفاده کنیم، میتوانیم یک فایل HTML را از یک وبسرور بگیریم و اجرا کنیم و این قابلیت از طریق پروتکل MS-MSDT اجرا میشود.

این قابلیت حتی در زمانی اجرا میشود که در محصولات مایکروسافتی Micro غیر فعال است!

فرد نفوذگر با استفاده از یک فایلی مانند ورد میتواند درخواستی که میخواهد در سیستم ما انجام شود را انجام دهد و این کار هم میتواند با باز کردن فایل ورد در سیستم قربانی و یا بدون باز کردن فایل انجام شود.

بعد از باز کردن فایل آلوده متعلق به محصولات مایکروسافت، ممکن است هر پراسسی در ویندوز اجرا شود.



روش شناسایی این آسیب پذیری:

در لاگ های SYSMON وEvent Id شماره 1، عبارت MSDT مشخص میشود و با سرچ این کلیدواژه میتوانیم تمامی لاگ های مرتبط با این پروتکل را شناسایی و بررسی کنیم.

اگر این آسیب پذیری به صورت Remote از راه دور انجام شود، میتواینم از Event Id 3 هم این حملات را تشخیص دهیم.

میتوانیم در Process های ویندوز، Process با نام MSDT را ببینیم که معمولا در زیرمجموعه PowerShell اجرا میشود و همینطور پراسسی با نام sdiaghost.exe بوجود میآید که این Process یک برنامه با نام conhost.exe را اجرا میکند.

درصورتی که در لیست Process های ویندوز، Process_name برابر msdt.exe بود و process_parent_name آن برابر یکی از موارد زیر بود، باید به این پراسس مشکوک شد و از دید امنیتی آن را بررسی کرد.

در لاگ های دریافتی این موارد باید مورد بررسی قرار داده شوند
در لاگ های دریافتی این موارد باید مورد بررسی قرار داده شوند

وقتی این آسیب پذیری اجرا شود، یک سری فایل های .dll در پراسس های ویندوزی اجرا میشوند که باید بعد از دیدن آنها از Safe بودن آنها اطمینان حاصل کرد که parant این dll ها همان فایل مایکروسافتی مخرب میباشد.

· Csi.dll

· Hlink.dll

· Ieframe.dll

از event id 7 در SYSMON که لاگ های dll ها را به ما نشان میدهد میتوانیم برای تشخیص استفاده کنیم.

روش های جلوگیری

یکی از روش ها برای جلوگیری از این آسیب پذیری، باید به صورت کلی کلید های رجیستری این پروتکل را غیرفعال کنیم:

برای این کار در مسیری که در تصویر مشخص شده است در Registry های ویندوز میرویم و کلید های رجیستری مرتبط با آن را پاک کنیم تا این آسیب پذیری برروی سیستم ایجاد نشود.


آسیب پذیریهکvulnerability
شاید از این پست‌ها خوشتان بیاید