Follina Vulnerability Detection: New Microsoft Office Zero-Day Exploited in the Wild

사이버 보안 연구원들은 Microsoft Office에서 발견된 새로운 제로데이 취약점에 주목하고 있습니다. 5월 27일, Follina 제로데이 결함이 처음 문서화되어 벨라루스에서 제출된 것으로 보고되었습니다. 연구에 따르면, 새로 발견된 Microsoft Office 제로데이 취약점은 손상된 Windows 장치에서 임의 코드 실행을 초래할 수 있습니다. 

Follina 취약점 악용 시도 탐지

사이버 보안 전문가가 Follina 제로데이 악용 시도를 감지할 수 있도록, SOC Prime 팀은 검출 코드 플랫폼에서 사용 가능한 전용 Sigma 규칙 세트를 릴리스했습니다. 이 규칙 키트를 액세스하려면 기존 자격증명을 사용하여 SOC Prime의 플랫폼에 로그인하거나 계정을 생성하십시오:

Follina Microsoft Office 제로데이 취약점을 악용하려는 시도를 탐지하기 위한 Sigma 규칙

모든 탐지는 SOC Prime의 플랫폼에 의해 지원되는 여러 보안 솔루션과 호환되며, 향상된 위협 가시성을 위해 MITRE ATT&CK® 프레임워크와 정렬되어 있으며, 주된 기술로 Template Injection (T1221)을 사용하여 Defense Evasion 전술을 다루고 있습니다. 

팀은 또한 Follina 취약점 악용과 관련된 최신 사이버 공격의 흔적을 식별하는 데 도움이 되는 또 다른 Sigma 규칙을 활용할 수 있습니다:

LOLBAS msdt (cmdline 사용)

언급된 Sigma 규칙은 23개의 SIEM, EDR, XDR 솔루션에서 사용할 수 있으며, MITRE ATT&CK 프레임워크를 기반으로 Defense Evasion 전술 무기고에서 Signed Binary Proxy Execution (T1218) 기술을 다룹니다.

버튼을 클릭하여 탐지 보기 를 통해 팀이 지속적으로 신흥 위협에 발맞출 수 있도록 하는 포괄적인 탐지 알고리즘 컬렉션에 접근할 수 있습니다. 사이버 보안 연구원 및 위협 헌터들은 전문 기술을 향상시키고 협업된 전문 지식에 기여할 수 있는 새로운 방법을 찾고 있으며, 우리의 Threat Bounty 프로그램에 참여하길 환영합니다. 이 크라우드소싱 이니셔티브에 참여함으로써 보안 전문가들은 자신의 탐지 콘텐츠를 통해 수익을 창출하고, 미래 보완적 사이버 방어에 기여할 기회를 얻게 됩니다.

탐지 보기 Threat Bounty에 참여하기

Follina 취약점 분석

Microsoft SharePoint Server에서 RCE 중요 취약점이 추적된 후 CVE-2022-29108로, Microsoft의 제품이 또 다른 결함으로 주목받고 있습니다. Follina라 불리는 새로운 Microsoft Office 제로데이 취약점이 일본 사이버 보안 연구 팀 nao_sec에 의해 발견되었을 때 사이버 위협 무대에 등장했습니다. 일본의 사이버 보안 연구팀 nao_sec 이 벨라루스 IP 주소에서 VirusTotal에 업로드된 악성 Word 파일을 발견했습니다. 이 Word 문서는 원격 템플릿에서 HTML 파일을 로드하여 감염 체인을 유발하고, 이후에는 시스템을 감염시키기 위해 악성 PowerShell 코드를 실행합니다. 

문제를 악화시키는 것은 Microsoft Word가 매크로가 비활성화된 상태에서도 Microsoft Support Diagnostics Tool을 통해 악성 코드를 실행한다는 것입니다. 더 나아가, Microsoft Defender for Endpoint가 이 결함을 감지하지 못했다고 Kevin Beaumont의 연구에서 언급되어 있으며, 이 새로운 Microsoft Office 코드 실행 취약점에 이름을 부여했습니다. 이 버그는 2013 및 2016년 과 같은 여러 Office 버전에 영향을 미치며, 패치된 2021 버전도 포함되며, 잠재적으로 손상될 수 있습니다. 위협에 신속히 대응하기 위해, 사이버 방어자들은 노출을 식별하는 데 도움이 되는 Follina 취약점 POC 코드 샘플을 릴리스 중이며, 예를 들어 GitHub에서도 볼 수 있습니다.

취약점이 패치되지 않았고 야생에서 악용되고 있으므로 보안 업체의 즉각적인 조치가 필요합니다. 권장되는 Follina 취약점 완화 조치 중 하나로, Office 사용자는 Outlook 이메일에서 MS Protocol URI 스키마를 적용하는 것이 권장됩니다.

진보적인 보안 리더들은 항상 사이버 방어 능력을 가속화하고 조직의 사이버 보안 태세를 향상시키기 위한 미래 대비와 비용 효율적인 솔루션을 찾고 있습니다. SOC Prime의 검출 코드 플랫폼을 활용하는 것은 팀이 SIEM 및 XDR 투자를 통해 더 많은 가치를 추출하고 사이버 보안 효율성을 크게 향상시킬 수 있도록 도와줍니다. 도와줍니다.