Detecção de Vulnerabilidade Follina: Novo Dia Zero do Microsoft Office Explorando na Natureza Selvagem
Índice:
Pesquisadores em cibersegurança voltam suas atenções para uma nova vulnerabilidade zero-day no Microsoft Office observada em circulação. Em 27 de maio, a falha zero-day Follina foi documentada pela primeira vez e relatada como tendo sido submetida da Bielorrússia. Segundo a pesquisa, a recém-descoberta vulnerabilidade zero-day do Microsoft Office pode levar à execução arbitrária de código em dispositivos Windows comprometidos.
Detectar Tentativas de Exploração da Vulnerabilidade Follina
Para permitir que profissionais de cibersegurança detectem tentativas de exploração do zero-day Follina, a equipe da SOC Prime lançou um conjunto de regras Sigma dedicadas disponíveis na plataforma Detection as Code e devidamente etiquetadas. Para acessar esse kit de regras, certifique-se de entrar na plataforma da SOC Prime com suas credenciais existentes ou criar uma conta:
Todas as detecções são compatíveis com várias soluções de segurança suportadas pela plataforma da SOC Prime e estão alinhadas com o framework MITRE ATT&CK® para aumentar a visibilidade das ameaças abordando a tática de Evasão de Defesa com a Injeção de Template (T1221) como sua técnica principal.
As equipes também podem aproveitar outra regra Sigma que pode ajudar adicionalmente a identificar os rastros desse último ciberataque relacionado à exploração da vulnerabilidade Follina:
A regra Sigma mencionada acima pode ser usada em 23 soluções SIEM, EDR e XDR e aborda a técnica de Execução de Proxy de Binário Assinado (T1218) do arsenal de táticas de Evasão de Defesa com base no framework MITRE ATT&CK.
Clique no Ver Detecções botão para acessar a coleção abrangente de algoritmos de detecção que permite às equipes se manterem continuamente atualizadas com as ameaças emergentes. Pesquisadores de cibersegurança e Caçadores de Ameaças em busca de novas maneiras de aprimorar suas habilidades profissionais enquanto contribuem com a expertise colaborativa são bem-vindos para se juntar às fileiras do nosso Programa Threat Bounty. Ao se juntar a essa iniciativa de crowdsourcing, profissionais de cibersegurança ganham a oportunidade de monetizar seu conteúdo de detecção enquanto contribuem para uma defesa cibernética à prova de futuro.
Ver Detecções Participar do Threat Bounty
Análise da Vulnerabilidade Follina
Logo após a vulnerabilidade crítica de RCE no Microsoft SharePoint Server rastreada como CVE-2022-29108, outra falha comprometendo os produtos da Microsoft ganha destaque. A nova vulnerabilidade zero-day do Microsoft Office, apelidada de Follina, surge no cenário de ameaças cibernéticas quando a equipe de pesquisa em cibersegurança japonesa nao_sec detectou um arquivo Word malicioso carregado no VirusTotal a partir de um endereço IP bielorrusso. Este documento do Word desencadeia uma cadeia de infecção ao carregar um arquivo HTML de um modelo remoto e subsequentemente leva à execução de código malicioso em PowerShell para infectar o sistema.
O que agrava o problema é que o Microsoft Word executa o código malicioso via Ferramenta de Diagnóstico de Suporte da Microsoft, mesmo com as macros desabilitadas. Além disso, o Microsoft Defender para Endpoint não conseguiu detectar a falha de acordo com a pesquisa de Kevin Beaumont que deu nome a essa nova vulnerabilidade de execução de código do Microsoft Office. O bug afeta várias versões do Office, como 2013 e 2016, incluindo a versão 2021 com patch e outras possivelmente comprometidas. Para responder rapidamente a uma ameaça, defensores cibernéticos estão lançando amostras de código POC de vulnerabilidade Follina que ajudam a identificar a exposição e já estão disponíveis publicamente, por exemplo, no GitHub.
Como a vulnerabilidade não foi corrigida e está sendo explorada em circulação, é necessária ação imediata dos fornecedores de segurança. Como uma das medidas de mitigação recomendadas para a vulnerabilidade Follina, recomenda-se que os usuários do Office apliquem os esquemas MS Protocol URI nos e-mails do Outlook.
Líderes de segurança progressivos estão constantemente em busca de soluções duradouras e econômicas para acelerar as capacidades de defesa cibernética e aumentar a postura de cibersegurança da organização. Aproveitar a plataforma Detection as Code da SOC Prime ajuda as equipes a extrair mais valor de seus investimentos em SIEM e XDR e aumenta significativamente a eficácia da cibersegurança.
