Peneliti keamanan telah menemukan kerentanan zero-day Microsoft Office baru yang digunakan dalam serangan untuk mengeksekusi perintah PowerShell berbahaya melalui Microsoft Diagnostic Tool (MSDT) hanya dengan membuka dokumen Word.
Kerentanan, yang belum menerima nomor pelacakan dan disebut oleh komunitas infosec sebagai ‘Follina,’ dimanfaatkan menggunakan dokumen Word berbahaya yang menjalankan perintah PowerShell melalui MSDT.
Follina zero-day baru ini membuka pintu ke vektor serangan kritis baru yang memanfaatkan program Microsoft Office karena bekerja tanpa hak istimewa yang lebih tinggi, melewati deteksi Windows Defender, dan tidak memerlukan kode makro untuk diaktifkan untuk mengeksekusi binari atau skrip.
Jumat lalu, peneliti keamanan nao_sec menemukan dokumen Word berbahaya yang dikirimkan ke platform pemindaian Virus Total dari alamat IP di Belarus.
“Saya sedang berburu file di VirusTotal yang mengeksploitasi CVE-2021-40444. Kemudian saya menemukan file yang menyalahgunakan skema ms-msdt,” kata nao_sec
“Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema ‘ms-msdt’ untuk mengeksekusi kode PowerShell,” tambah peneliti dalam tweet, memposting tangkapan layar kode yang dikaburkan di bawah ini:
Peneliti keamanan Kevin Beaumont mendeobfuscate kode dan menjelaskan dalam posting blog bahwa itu adalah string baris perintah yang dijalankan Microsoft Word menggunakan MSDT, bahkan jika skrip makro dinonaktifkan.
Skrip PowerShell di atas akan mengekstrak file yang disandikan Base64 dari file RAR dan dijalankan. File ini tidak lagi tersedia, jadi tidak jelas aktivitas jahat apa yang dilakukan oleh serangan tersebut.
Beaumont mengklarifikasi lebih banyak hal dengan mengatakan bahwa dokumen Word berbahaya menggunakan fitur templat jarak jauh untuk mengambil file HTML dari server jauh.
Kode HTML kemudian menggunakan skema protokol MS-MSDT URI Microsoft untuk memuat kode tambahan dan mengeksekusi kode PowerShell.
Peneliti menambahkan bahwa fitur Tampilan Terlindungi di Microsoft Office, yang dirancang untuk memperingatkan file dari lokasi yang berpotensi tidak aman, diaktifkan untuk memperingatkan pengguna tentang kemungkinan dokumen berbahaya.
Namun, peringatan ini dapat dengan mudah dilewati dengan mengubah dokumen menjadi file Rich Text Format (RTF). Dengan demikian, kode yang dikaburkan dapat berjalan “bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer).”
Beberapa peneliti keamanan telah menganalisis dokumen berbahaya yang dibagikan oleh nao_sec dan berhasil mereproduksi eksploit dengan beberapa versi Microsoft Office.
Dalam analisis terpisah hari ini, para peneliti di perusahaan layanan keamanan siber Huntress menganalisis eksploitasi dan memberikan lebih banyak detail teknis tentang cara kerjanya.
Mereka menemukan bahwa dokumen HTML yang mengatur hal-hal yang bergerak berasal dari “xmlformats[.]com,” sebuah domain yang tidak lagi dimuat.
Huntress mengkonfirmasi temuan Beaumont bahwa dokumen RTF akan mengirimkan muatan tanpa interaksi apa pun dari pengguna (selain memilihnya), untuk apa yang umumnya dikenal sebagai “eksploitasi nol-klik.”
Para peneliti mengatakan bahwa tergantung pada muatannya, penyerang dapat menggunakan eksploitasi ini untuk mencapai lokasi terpencil di jaringan korban
Ini akan memungkinkan penyerang untuk mengumpulkan hash dari kata sandi mesin Windows korban yang berguna untuk aktivitas pasca-eksploitasi lebih lanjut.
Beaumont memperingatkan bahwa deteksi untuk metode eksploitasi baru ini “mungkin tidak akan bagus,” dengan alasan bahwa kode berbahaya dimuat dari template jarak jauh, sehingga dokumen Word yang dibawa tidak akan ditandai sebagai ancaman karena tidak menyertakan file berbahaya. kode, hanya referensi untuk itu.
Untuk mendeteksi serangan melalui vektor ini, Huntress menunjuk ke proses pemantauan pada sistem karena muatan Follina membuat proses anak ‘msdt.exe’ di bawah induk Microsoft Office yang menyinggung.
Untuk organisasi yang mengandalkan aturan Pengurangan Permukaan Serangan (ASR) Microsoft Defender, Huntress menyarankan untuk mengaktifkan “Blokir semua aplikasi Office agar tidak membuat proses anak” dalam mode Blokir, yang akan mencegah eksploitasi Follina.
Menjalankan aturan dalam mode Audit terlebih dahulu dan memantau hasilnya disarankan sebelum menggunakan ASR, untuk memastikan bahwa pengguna akhir tidak mengalami efek samping.
Mitigasi lain, dari Didier Stevens, adalah menghapus asosiasi tipe file untuk ms-msdt sehingga Microsoft Office tidak akan dapat memanggil alat tersebut saat membuka dokumen Folina yang berbahaya.
Peneliti keamanan mengatakan bahwa kerentanan Follina tampaknya telah ditemukan dan dilaporkan ke Microsoft sejak April.
Menurut tangkapan layar yang diterbitkan oleh anggota Shadow Chaser Group – sebuah asosiasi mahasiswa yang berfokus pada memburu dan menganalisis ancaman persisten tingkat lanjut (APT), Microsoft diberitahu tentang kerentanan tetapi menolaknya sebagai “bukan masalah terkait keamanan.”
Argumen Microsoft untuk ini adalah bahwa sementara ‘msdt.exe’ memang dieksekusi, diperlukan kode sandi saat memulai dan perusahaan tidak dapat mereplikasi eksploitasi.
Namun, pada 12 April, Microsoft menutup laporan pengiriman kerentanan (dilacak sebagai VULN-065524) dan mengklasifikasikannya “Masalah ini telah diperbaiki,” dengan dampak keamanan eksekusi kode jarak jauh.
Sumber: Bleeping Computer
