Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Follina

Follina

Windows Zero-day Dieksploitasi Dalam Serangan Phishing Yang Menargetkan Pemerintah Lokal AS & Eropa

by

Pemerintah Eropa dan pemerintah lokal AS menjadi target kampanye phishing menggunakan dokumen Rich Text Format (RTF) berbahaya yang dirancang untuk mengeksploitasi kerentanan kritis Windows zero-day yang dikenal sebagai Follina.

BleepingComputer mengetahui pemerintah lokal di setidaknya dua negara bagian AS yang menjadi sasaran kampanye phishing ini.

Penyerang menggunakan janji kenaikan gaji untuk memancing karyawan membuka dokumen berbahaya, yang akan menjalankan skrip Powershell sebagai muatan terakhir.

Seperti yang ditemukan BleepingComputer saat memeriksa muatan PowerShell terakhir dari serangan ini, pelaku ancaman mengumpulkan sejumlah besar info yang mengungkapkan sifat dari serangan pengintaian karena data yang dikumpulkan dapat digunakan untuk akses awal:

  • Kata sandi browser: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc, dan AVAST Browser.
  • Data dari aplikasi lain: Mozilla Thunderbird, file session Netsarang, kontak Windows Live Mail, kata sandi Filezilla, file konfigurasi ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
  • Informasi Windows: Informasi komputer, daftar nama pengguna, informasi domain Windows

CVE-2022-30190 masih belum ditambal dan memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (mis., Windows 7+ dan Server 2008+).

Hingga Microsoft merilis pembaruan keamanan resmi, Anda dapat menambal sistem Anda terhadap serangan yang sedang berlangsung ini menggunakan tambalan tidak resmi yang dirilis oleh layanan micropatch 0patch.

Selengkapnya: Bleeping Computer

Microsoft Merilis Panduan Solusi untuk Kerentanan “Follina” MSDT

by

Pada hari Senin 30 Mei 2022, Microsoft mengeluarkan CVE-2022-30190 mengenai Microsoft Support Diagnostic Tool (MSDT) pada kerentanan Windows, pertama kali dilaporkan selama akhir pekan Memorial Day oleh para peneliti dengan vendor keamanan Jepang Nao Sec.

Peneliti keamanan Kevin Beaumont menamai kerentanan itu “Folina,” karena kode zero day merujuk 0438, yang merupakan kode area untuk Follina, Italia. Beaumont mencatat bahwa Defender for Endpoint tidak mendeteksi eksploit, yang mengambil file HTML dari server web jarak jauh dan memungkinkan eksekusi kode PowerShell.

Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dengan hak istimewa aplikasi panggilan, dan kemudian dapat menginstal program, mengubah atau menghapus data, atau bahkan membuat akun baru yang diizinkan oleh hak pengguna, Microsoft memposting di blog keamanannya.

Untuk menonaktifkan Protokol URL MDST, Microsoft mengatakan pengguna harus:

  • Jalankan Command Prompt sebagai Administrator.
  • Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\ms-msdt filename”
  • Jalankan perintah “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Microsoft mengatakan pelanggan dengan Defender Antivirus harus mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis, sementara pelanggan Defender untuk Endpoint dapat mengaktifkan aturan pengurangan permukaan serangan “BlockOfficeCreateProcessRule” yang memblokir aplikasi Office dari membuat proses anak.

Badan Keamanan Cybersecurity dan Infrastruktur AS mengeluarkan peringatan pada hari Selasa di Follina, mendesak pengguna dan administrator untuk menerapkan solusi yang diperlukan.

Sumber: Microsoft Security Response Center

Microsoft Office baru zero-day digunakan dalam serangan untuk mengeksekusi PowerShell

by

Peneliti keamanan telah menemukan kerentanan zero-day Microsoft Office baru yang digunakan dalam serangan untuk mengeksekusi perintah PowerShell berbahaya melalui Microsoft Diagnostic Tool (MSDT) hanya dengan membuka dokumen Word.

Kerentanan, yang belum menerima nomor pelacakan dan disebut oleh komunitas infosec sebagai ‘Follina,’ dimanfaatkan menggunakan dokumen Word berbahaya yang menjalankan perintah PowerShell melalui MSDT.

Follina zero-day baru ini membuka pintu ke vektor serangan kritis baru yang memanfaatkan program Microsoft Office karena bekerja tanpa hak istimewa yang lebih tinggi, melewati deteksi Windows Defender, dan tidak memerlukan kode makro untuk diaktifkan untuk mengeksekusi binari atau skrip.

Jumat lalu, peneliti keamanan nao_sec menemukan dokumen Word berbahaya yang dikirimkan ke platform pemindaian Virus Total dari alamat IP di Belarus.

“Saya sedang berburu file di VirusTotal yang mengeksploitasi CVE-2021-40444. Kemudian saya menemukan file yang menyalahgunakan skema ms-msdt,” kata nao_sec

“Ini menggunakan tautan eksternal Word untuk memuat HTML dan kemudian menggunakan skema ‘ms-msdt’ untuk mengeksekusi kode PowerShell,” tambah peneliti dalam tweet, memposting tangkapan layar kode yang dikaburkan di bawah ini:

Kode muatan yang dikaburkan, sumber: nao_sec

Peneliti keamanan Kevin Beaumont mendeobfuscate kode dan menjelaskan dalam posting blog bahwa itu adalah string baris perintah yang dijalankan Microsoft Word menggunakan MSDT, bahkan jika skrip makro dinonaktifkan.

Muatan yang tidak disamarkan, sumber: Kevin Beaumont

Skrip PowerShell di atas akan mengekstrak file yang disandikan Base64 dari file RAR dan dijalankan. File ini tidak lagi tersedia, jadi tidak jelas aktivitas jahat apa yang dilakukan oleh serangan tersebut.

Beaumont mengklarifikasi lebih banyak hal dengan mengatakan bahwa dokumen Word berbahaya menggunakan fitur templat jarak jauh untuk mengambil file HTML dari server jauh.

Kode HTML kemudian menggunakan skema protokol MS-MSDT URI Microsoft untuk memuat kode tambahan dan mengeksekusi kode PowerShell.

Peneliti menambahkan bahwa fitur Tampilan Terlindungi di Microsoft Office, yang dirancang untuk memperingatkan file dari lokasi yang berpotensi tidak aman, diaktifkan untuk memperingatkan pengguna tentang kemungkinan dokumen berbahaya.

Namun, peringatan ini dapat dengan mudah dilewati dengan mengubah dokumen menjadi file Rich Text Format (RTF). Dengan demikian, kode yang dikaburkan dapat berjalan “bahkan tanpa membuka dokumen (melalui tab pratinjau di Explorer).”

Beberapa peneliti keamanan telah menganalisis dokumen berbahaya yang dibagikan oleh nao_sec dan berhasil mereproduksi eksploit dengan beberapa versi Microsoft Office.

Dalam analisis terpisah hari ini, para peneliti di perusahaan layanan keamanan siber Huntress menganalisis eksploitasi dan memberikan lebih banyak detail teknis tentang cara kerjanya.

Mereka menemukan bahwa dokumen HTML yang mengatur hal-hal yang bergerak berasal dari “xmlformats[.]com,” sebuah domain yang tidak lagi dimuat.

Huntress mengkonfirmasi temuan Beaumont bahwa dokumen RTF akan mengirimkan muatan tanpa interaksi apa pun dari pengguna (selain memilihnya), untuk apa yang umumnya dikenal sebagai “eksploitasi nol-klik.”

Payload Follina dieksekusi hanya dengan memilih dokumen RTF berbahaya, sumber: Huntress

Para peneliti mengatakan bahwa tergantung pada muatannya, penyerang dapat menggunakan eksploitasi ini untuk mencapai lokasi terpencil di jaringan korban

Ini akan memungkinkan penyerang untuk mengumpulkan hash dari kata sandi mesin Windows korban yang berguna untuk aktivitas pasca-eksploitasi lebih lanjut.

Bug Microsoft Office dapat membantu mengumpulkan hash kata sandi Windows, sumber: Huntress

Beaumont memperingatkan bahwa deteksi untuk metode eksploitasi baru ini “mungkin tidak akan bagus,” dengan alasan bahwa kode berbahaya dimuat dari template jarak jauh, sehingga dokumen Word yang dibawa tidak akan ditandai sebagai ancaman karena tidak menyertakan file berbahaya. kode, hanya referensi untuk itu.

Untuk mendeteksi serangan melalui vektor ini, Huntress menunjuk ke proses pemantauan pada sistem karena muatan Follina membuat proses anak ‘msdt.exe’ di bawah induk Microsoft Office yang menyinggung.

Untuk organisasi yang mengandalkan aturan Pengurangan Permukaan Serangan (ASR) Microsoft Defender, Huntress menyarankan untuk mengaktifkan “Blokir semua aplikasi Office agar tidak membuat proses anak” dalam mode Blokir, yang akan mencegah eksploitasi Follina.

Menjalankan aturan dalam mode Audit terlebih dahulu dan memantau hasilnya disarankan sebelum menggunakan ASR, untuk memastikan bahwa pengguna akhir tidak mengalami efek samping.

Mitigasi lain, dari Didier Stevens, adalah menghapus asosiasi tipe file untuk ms-msdt sehingga Microsoft Office tidak akan dapat memanggil alat tersebut saat membuka dokumen Folina yang berbahaya.

Peneliti keamanan mengatakan bahwa kerentanan Follina tampaknya telah ditemukan dan dilaporkan ke Microsoft sejak April.

Menurut tangkapan layar yang diterbitkan oleh anggota Shadow Chaser Group – sebuah asosiasi mahasiswa yang berfokus pada memburu dan menganalisis ancaman persisten tingkat lanjut (APT), Microsoft diberitahu tentang kerentanan tetapi menolaknya sebagai “bukan masalah terkait keamanan.”

Argumen Microsoft untuk ini adalah bahwa sementara ‘msdt.exe’ memang dieksekusi, diperlukan kode sandi saat memulai dan perusahaan tidak dapat mereplikasi eksploitasi.

Balasan Microsoft untuk laporan kerentanan Follina, sumber: CrazyMan_Army

Namun, pada 12 April, Microsoft menutup laporan pengiriman kerentanan (dilacak sebagai VULN-065524) dan mengklasifikasikannya “Masalah ini telah diperbaiki,” dengan dampak keamanan eksekusi kode jarak jauh.

Laporan April untuk Follina Microsoft Office RCE, sumber: CrazyMan_Army

Sumber: Bleeping Computer