Εντοπισμός επίθεσης Follina (CVE-2022-30190) με το Cyber Radar

Τι είναι το Follina :

Το Follina (CVE-2022-30190) είναι μια ευπάθεια zero-day του Microsoft Office που ανακαλύφθηκε στις 27 Μαΐου 2022. Πρόκειται για μια ευπάθεια υψηλής σοβαρότητας που οι hacker μπορούν να εκμεταλλευτούν για επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE).Η απομακρυσμένη εκτέλεση κώδικα (RCE) αναφέρεται σε μια κατηγορία κυβερνοεπιθέσεων κατά τις οποίες οι επιτιθέμενοι εκτελούν εξ αποστάσεως εντολές για να τοποθετήσουν κακόβουλο λογισμικό ή άλλο κακόβουλο κώδικα στον υπολογιστή ή στο δίκτυο του στόχου.

Εντοπισμός Follina:

Αρχικά δημιουργήσαμε ένα δοκιμαστικό περιβάλλον όπου έγινε exploitation της ευπάθειας εσκεμμένα ώστε να αναλύσουμε τις λειτουργίες του Follina. Μελετήσαμε τα αρχεία καταγραφής που δημιουργήθηκαν για να εντοπίσουμε τις σχετικές κατευθυντήριες γραμμές και τα πεδία που θα βοηθήσουν στον εντοπισμό του exploitation. Κατόπιν δημιουργήσαμε κανόνες ανίχνευσης στο Cyber Radar σχετικά με τα αρχεία καταγραφής του sysmon.

Επίσης έχει παρατηρηθεί οτι είναι ασυνήθιστο για τις εφαρμογές του Microsoft Office να δημιουργούν νέες διαδικασίες και μέχρι στιγμής, αυτή η συμπεριφορά διαπιστώνεται στο exploitation ευπαθειών από το Follina.

Η Follina αποκτά πρόσβαση στα συστήματα μέσω του MSDT, ενός εργαλείου που χρησιμοποιούν διάφορες εφαρμογές της Microsoft. Όταν εντοπιστεί αυτή η ενέργεια από το Cyber Radar, θα εμφανιστεί η ανάλογη ειδοποίηση. Η παρακάτω εικόνα δείχνει τον εντοπισμό ενός επιτυχημένου exploitation ευπαθειών από το Follina μέσω του MSDT.