Bösartige Beobachtungsdokumente wurden gelöscht, um eine zuvor nicht bekannt gegebene Schwachstelle in der Microsoft-Rolle des Unternehmens ohne Benutzerinteraktion durch Windows-Dienstprogrammfunktionen aufzurufen
Durch
- Sebastian Klovig Skelton ,
Leitender Reporter
31 Vielleicht vielleicht vielleicht gut 2022 15: 00
Böswillige Akteure berichten über eine zuvor nicht bekannt gegebene Zero-Day-, Zero-Click-Schwachstelle in Microsoft Role of Enterprise, um PowerShell-Anweisungen ohne Benutzerint Aktion, pro Sicherheitsforscher. Die Schwachstelle – über die Sicherheitsforscher gestolpert sind nao_sec am 27. Mai vielleicht gut und später von Microsoft als CVE-2022-30190 bezeichnet – nutzt das Microsoft Diagnostic Instrument (MSDT), das ausgestorben ist, um den PowerShell-Code nach dem Aufrufen einer HTML-Datei von einer weit entfernten URL zu speichern.
„Es verwendet den externen Hyperlink von Observe, um den HTML-Code zu laden, und verwendet dann die Datei ‚ms-msdt ‘Erfindung, um PowerShell-Code zu bleiben”, sprach über nao_sec. In a Im Blog Might perchance perchance well 30 veröffentlicht, fügte Microsoft hinzu: „Ein Angreifer, der diese Schwachstelle effizient ausnutzt, kann mit den Privilegien des aufrufenden Dienstprogramms aus beliebigem Code fliehen. Der Angreifer kann dann Programme installieren, Dateien überwachen, ersetzen oder löschen oder sich innerhalb des von den Benutzerrechten erlaubten Kontexts neue Konten verschaffen.“
Der Exploit, der in der Infosec-Nachbarschaft auch als „Follina“ bezeichnet wird, ermöglicht es Angreifern, den Code über MSDT zu behalten, selbst wenn Makros deaktiviert sind, und wurde von anderen Sicherheitsforschern effizient reproduziert , neben Kevin Beaumont und Experten bei Huntress.
„Hier ist ein ein reizvoller Angriff für Angreifer, da es in einer Microsoft Observe-Datei ohne Makros versteckt ist, um vertraute Warnzeichen für Kunden auszulösen, aber mit der Flexibilität, ferngehosteten Code zu entkommen“, sagte John Hammond, ein leitender Sicherheitsforscher bei Huntress, in einem Blog. „Um diese Bedrohung besser zu verstehen, haben die Sicherheitsforscher von Huntress die Interna von die Observe-Datei, um sie einem lokalen Wettbewerb innerhalb einer Prognose-Sandbox zuzuweisen, und se hat eine gutartige Nutzlast, die vielleicht eine Nachricht in die Stimme von explodierender Malware stempelt.“ Hammond fügte hinzu, dass es nach dem Ausprobieren zu einer Änderung kam, insbesondere dass die Nutzlast jetzt nicht ex
