🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء نقاط الضعف

تم استغلال ثغرة MS Office RCE «Follina» CVE-2022-30190 بنشاط من قبل الجهات الفاعلة في مجال التهديد

قام فريق أبحاث التهديدات في CloudSek بتحليل ثغرة MS Office RCE لمدة 0 يوم والتي أطلق عليها اسم Follina وتم منحها CVE-2022-30190. يشبه متجه الهجوم والثغرة الأمنية إلى حد كبير CVE-2021-40444.
تم التحديث بتاريخ
April 15, 2026
تم النشر في
June 3, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
ثغرة Follina RCE CVE-2022-30190 في MS Office تستغل بنشاط من قبل الجهات الفاعلة في مجال التهديدالفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: تنفيذ التعليمات البرمجية عن بُعدغطاء الكهف: CVE-2022-30190السيرة الذاتية: 3.0 النتيجة: 7.8/7.3

ملخص تنفيذي

تهديدتأثيرتخفيف
  • ثغرة أمنية لمدة 0 يوم يطلق عليها اسم Follina (CVE-2022-3019) هي ثغرة RCE في مايكروسوفت أوفيس.
  • لقد ظل ناقل الهجوم في العلن لمدة عامين.
  • الزيادة الأخيرة في محادثات الويب المظلمة المتعلقة بتسليح POCs المتاحة للجمهور لتجاوز صناديق الحماية و EDRs.
  • يمكن للمهاجمين استغلال هذه الثغرة الأمنية لتنفيذ الأوامر عن بُعد.
  • يمكن للمهاجمين الاستفادة من الاستغلال لإسقاط البرامج الضارة وبرامج الفدية.
  • فقدان الإيرادات والسمعة والملكية الفكرية.
نظرًا لعدم توفر أي تصحيح، يوصى باتباعه الحلول التي تقدمها Microsoft.كلاود سيكقام فريق أبحاث التهديدات بتحليل ثغرة يوم 0 التي أطلق عليها اسم Follina وتم منحها CVE-2022-30190. يشبه متجه الهجوم والثغرة الأمنية إلى حد كبير CVE-2021-40444.

نظرة عامة على نموذج CVE-2022-30190

  • تمت تسمية CVE-2022-30190 باسم Follina لأن ملف الاستغلال الأصلي يشير إلى الرقم 0438، وهو رمز منطقة فولينا في إيطاليا.
  • إنها ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد (RCE) مع وجود متجهات بنقرة صفر متاحة للجمهور. وبالتالي من السهل استغلالها ويمكن أن يكون لها تأثير كبير على الضحايا.
  • لا يتضمن ناقل الثغرات الأمنية/الهجوم هذا استخدام وحدات الماكرو وهو ما يجعل الأمر أكثر خطورة حيث يتم وضعها في وضع الحماية الآن وتم تعطيلها افتراضيًا. يحتاج متجه الهجوم هذا فقط إلى فتح المستند الضار دون تمكين أي شيء.
  • خلافًا للاعتقاد الشائع، ظل ناقل الهجوم هذا في العلن لمدة عامين. تم تفصيل استغلال MS-MSDT في هذه ورقة بحث.

معلومات من OSINT

حدد فريق أبحاث التهديدات في CloudSek أنه تم استغلال ثغرة Follina قبل الاستشارات والحلول الأخيرة من Microsoft.
  • في أبريل 2022 كريزيمان_أرمي سلط الضوء على الاستغلال النشط لـ CVE-2022-30190. حتى أنه تم الإبلاغ عن المتجه إلى Microsoft ولكن لم يتم اعتباره مشكلة صالحة.
  • تم تحديد هذه المشكلة مرة أخرى بواسطة NAO_sec في مايو 2022. أثناء البحث عن محاولات الاستغلال المحتملة لـ CVE-2021-40444، Nao_sec تعثرت على ملف والتي كانت تستخدم حمولة ms-msdt لاستدعاء بوويرشيل وتنفيذ الأوامر، ولكن تم وضع علامة CVE-2017-0199 بواسطة VirusTotal. تم استخدام هذه العينة لإنشاء ثغرات PoC، ومنذ ذلك الحين اكتسبت Follina اهتمامًا عامًا كبيرًا.
  • تم اكتشاف ناقل الهجوم نفسه في عام 2020 وظل في العلن لمدة عامين.
[معرف التسمية التوضيحية = «المرفق _19450" alignnone» width="1333"]Follina Timeline of events قائمة نقاط الضعف الأمنية الخاصة بـ MS Office RCE: الجدول الزمني للأحداث [/caption]

معلومات من منتديات الويب المظلمة

حدد CloudSek بالفعل الأحاديث في منتديات الويب المظلمة التي تناقش استخدام POCs المتاحة للجمهور لتجاوز صناديق الحماية و EDRs. تسرع الجهات الفاعلة في مجال التهديد ومجموعات APT في اكتشاف واستغلال نقاط الضعف في الخدمات الشائعة. في هذه الحالة، أدى التعقيد المنخفض لناقل الهجوم إلى جعله هدفًا جذابًا بشكل خاص. بدأت مجموعة التهديدات الصينية TA413 بالفعل في استغلال هذه الثغرة من خلال انتحال شخصية «مكتب تمكين المرأة» التابع للإدارة المركزية التبتية، كما هو موضح في الصورة أدناه: في منتديات الويب المظلم والجرائم الإلكترونية، هناك العديد من الجهات الفاعلة في مجال التهديد:
  • مناقشة ضعف Follina وطرق الاستغلال المحتملة.
  • بيع مستغلين جماعيين لـ CVE
التحليل الفني للموديل CVE-2022-30190

كيف تحدد الجهات الفاعلة في مجال التهديد الحالات الضعيفة

للتحقق من أي محاولات استغلال، يبحث المهاجمون في مفتاح التسجيل التالي عن أي نطاقات مشبوهة يتم الوصول إليها بواسطة تطبيق Office: HKEY_USERS\<SID>\ البرنامج\ Microsoft\ Office\ 16.0\ ذاكرة التخزين المؤقت المشتركة\ الإنترنت\ الخادم. يعرض عنوان IP وبيانات المنفذ المدرجة تحت المفتاح أعلاه الاتصالات الخارجية التي أجراها تطبيق Office.

استغلال الثغرة الأمنية

تتضمن الثغرة الأمنية إرسال مستند Microsoft office إلى الضحية. يؤدي فتح المستند إلى بدء تشغيل WINWORD.exe الذي يحتوي على مرجع خارجي إلى URI ضار: xmlformats.com (تمت إزالة هذا الآن). يمكن للمهاجمين استخدام خوادم الأوامر والتحكم الخاصة بهم عن طريق تعديل الملف التالي: word/_rels/document.xml.rels. بمجرد أن يقوم المهاجم بتعديل عنوان URL، يصل المستند، عند فتحه، إلى خادم C2 الخاص بالمهاجم ويجلب تعليمات برمجية ضارة تستدعي powershell. جلبت العينة الأصلية الملف التالي إذا كان الملف الذي تم تنزيله لا يحتوي على 4096 بايت، فإن العملية الفرعية msdt تطلب من المستخدم كلمة مرور. هذا هو سبب احتواء الملف على تعليقات زائدة عن الحاجة. ال WINWORD.exe تبدأ العملية ثم تبدأ عملية الطفل msdt.exe. ثم يتم استخدام MSDT لاستدعاء powershell وتشغيل أمر base64 المشفر وهو: هنا يحاول ممثل التهديد تنفيذ الحمولة النهائية عبر سطر أوامر MS. محتويات rgb.exe غير معروف حاليًا. ومع ذلك، في البرية، تقوم الجهات الفاعلة في مجال التهديد بإسقاط حمولات Cobalt Strike وبرامج تحميل Stealers والبرامج الضارة الأخرى عبر أوامر PS المشفرة. ومن ثم فإن أفضل افتراض لدينا هو أن rgb.exe يمكن أن يكون هو الموضح أعلاه. يمكن للجهات الفاعلة في مجال التهديد الآن الاستفادة من قدرة تشغيل الأوامر للتنقل أفقيًا عبر البنية التحتية للضحية أو لتصعيد الامتيازات وإسقاط برامج الفدية، أو للحفاظ على الثبات.

التأثير والتخفيف

التأثيرالتخفيف
  • يمكن للمهاجمين استخدام هذه الثغرة الأمنية لتنفيذ الأوامر عن بُعد
  • يمكن للجهات الفاعلة في مجال التهديد إساءة استخدام هذه الثغرة الأمنية لسرقة تجزئات NTLM من الأنظمة المستهدفة، مع إنشاء اتصالات خارجية بنظام المهاجم. قد يؤدي ذلك إلى مزيد من الهجمات التي تستهدف AD والتي قد تعرض الشبكة الداخلية للضحية للخطر.
  • نظرًا لسهولة استغلال الخلل، يمكن للجهات الفاعلة في مجال التهديد استهداف عدد كبير من الضحايا والاستفادة منه لنشر برامج الفدية.
  • الخسارة المحتملة للإيرادات والسمعة والملكية الفكرية.
  • لا تزال هذه الثغرة الأمنية صالحة لمدة 0 يومًا نظرًا لعدم وجود تصحيح متاح.
  • هناك بعض الحلول التي تساعد على مدونة Microsoft الرسمية وقد اقترح
    • تعطيل بروتوكول عنوان URL الخاص بـ msdt
    • يمكن لعملاء Microsoft Defender for Endpoint تمكين قاعدة تقليل سطح الهجوم «BlockOfficeCreateProcessRule» التي تمنع تطبيقات Office من إنشاء عمليات فرعية
  • هؤلاء قواعد سيغما يمكن استخدامها للكشف عن النشاط الضار

المراجع

الملحق

لقطة الشاشة مأخوذة من ورقة بحث التي تسلط الضوء على مشكلة ms-msdt

الإشارات

https://www.youtube.com/watch?v=LYld6BTV7dY
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد