نقص روز صفر Office  که در حملات مورد سو استفاده قرار می‌گیرد

مایکروسافت اقداماتی برای کاهش یک نقص امنیتی به اشتراک گذاشته تا از حملاتی که از نقص جدید Office روز صفر سو استفاده می‌کنند، جلوگیری کند. این نقص توسط هکرها برای اجرای کدهای مخرب از راه دور مورد سوء استفاده قرار گرفته است.

این اشکال که توسط مایکروسافت به عنوان آسیب‌پذیری اجرای کد از راه دور ابزار تشخیصی پشتیبانی ویندوز (MSDT) توصیف شده و با نام CVE-2022-30190 ردیابی می‌شود، توسط crazyman از گروه Shadow Chaser گزارش شده است.

مایکروسافت می‌گوید این نقص بر تمامی نسخه‌های ویندوز که هنوز به‌روزرسانی‌های امنیتی را دریافت می‌کنند (ویندوز 7+ و سرور 2008+) تأثیر می‌گذارد.

همانطور که محقق امنیتی nao_sec فهمید، این نقص توسط عاملان تهدید برای اجرای دستورات مخرب PowerShell از طریق MSDT استفاده می‌شود. مایکروسافت این حملات را به عنوان حملات خودسرانه اجرای کد (ACE) در هنگام باز کردن یا پیش نمایش اسناد Word توصیف می‌کند.

مایکروسافت توضیح می‌دهد: «مهاجمی که با موفقیت از این آسیب‌پذیری سوء استفاده می‌کند، می‌تواند کد دلخواه را با امتیازات برنامه فراخوان اجرا کند.»

«سپس مهاجم می‌تواند برنامه‌ها را نصب کند، داده‌ها را مشاهده، تغییر یا حذف کند، یا حساب‌های جدیدی را در زمینه‌ای که توسط حقوق کاربر مجاز است ایجاد کند.»

راه حل موجود

طبق گفته مایکروسافت، مدیران و کاربران می‌توانند با غیرفعال کردن پروتکل URL MSDT، که عوامل مخرب از آن برای راه‌اندازی عیب‌یاب‌ها و اجرای کد روی سیستم‌های آسیب‌پذیر استفاده می‌کنند، حملاتی را که از CVE-2022-30190 سوء استفاده می‌کنند، مسدود کنند.

برای غیرفعال کردن پروتکل URL MSDT در یک دستگاه ویندوز، باید مراحل زیر را طی کنید:

1. -    Command Prompt را به عنوان Administrator اجرا کنید.

2. -    برای پشتیبان گیری از کلید رجیستری، دستور "reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg"  را اجرا کنید.

3. -    دستور "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"  را اجرا کنید.

پس از اینکه مایکروسافت یک وصله CVE-2022-30190 را منتشر کرد، می‌توانید با راه‌اندازی یک command prompt با دسترسی سطح بالا و اجرای دستور reg import ms-msdt.reg راه‌حل را لغو کنید (نام فایل،  نام پشتیبان رجیستری است که هنگام غیرفعال کردن پروتکل ایجاد می‌شود).

آنتی ویروس Microsoft defender نسخه 1.367.719.0 یا جدیدتر اکنون با شناسایی‌هایی برای سوء استفاده از آسیب پذیری احتمالی تحت امضاهای زیر ارائه می‌شود:

تروجان:Win32/Mesdetty.A

تروجان:Win32/Mesdetty.B

رفتار: Win32/MesdettyLaunch.A

رفتار: Win32/MesdettyLaunch.B

رفتار: Win32/MesdettyLaunch.C

در حالی که مایکروسافت می‌گوید که protected view و Application Guard برنامه مایکروسافت آفیس حملات CVE-2022-30190 را مسدود می‌کند، ویل دورمان، تحلیلگر آسیب پذیری CERT/CC (و سایر محققان) فهمیدند که اگر هدف، اسناد مخرب را در Windows Explorer پیش نمایش کند، این ویژگی امنیتی تلاش های سوء استفاده را مسدود نخواهد کرد.

بنابراین، همچنین توصیه می‌شود برای حذف این بردار حمله، پنل Preview را در Windows Explorer غیرفعال کنید.

به گفته crazyman از گروه Shadow Chaser )محققانی که برای اولین بار روز صفر را در آوریل شناسایی و گزارش کردند( مایکروسافت ابتدا این نقص را به عنوان "مسئله ای نامرتبط با امنیت" برچسب گذاری کرد. با این حال، بعدا گزارش ارسال آسیب‌پذیری را با تأثیر اجرای کد از راه دور مسدود کرد.

اولین حملات با بهره‌برداری از این باگ روز صفر بیش از یک ماه پیش با استفاده از دعوت‌نامه‌ها به مصاحبه‌های رادیویی اسپوتنیک و تهدیدهای اخاذی به عنوان فریب آغاز شد.

منبع: Bleeping_computer