【端點防護策略地圖】
自 5 月底引起許多研究人員關注的 Windows 診斷支援工具(MSDT)零時差漏洞 CVE-2022-30190,亦稱 Follina。(Follina 相關介紹: 起底 CVE-2022-30190:微軟支援診斷工具(MSDT)高風險 RCE 漏洞 “Follina” ),微軟在6月中的例行修補(Patch Tuesday)裡發布相關更新程式。儘管官方已發布修補程式,利用漏洞的攻擊仍方興未艾,如今在 MSDT 工具中竟又另外發現名為「DogWalk」的全新 Windows 零時差漏洞。事實上,該漏洞最早是由安全研究人員 Imre Rad 於 2020 年 1 月揭露,但微軟當時認為它並非什麼安全問題。駭客攻擊與官方修補應用程式的發布往往存在時差,加上使用者在現實環境中因作業上的問題無法立即修補,這也顯現了資安威脅日益難防,資安管理人員需要一個即時且有效的端點安全防護十分重要。
Fortinet 資安團隊在五月底針對此次的漏洞訊息利用 FortiEDR 進行了即時的測試並成功驗證在未修補的測試機經過 FortiEDR 行為偵測中,可以提供立即性的防護。為了證明 FortiEDR 對該漏洞被利用的覆蓋範圍,我們建立了一個環境,來演示 FortiEDR 如何協助抵禦這次的漏洞所造成的攻擊。
在建立測試的惡意 word 檔時,在漏洞執行的不同階段觸發了三個 FortiEDR 安全事件,所有事件都與在可疑上下文中執行的腳本的行為有關,並由FortiEDR的“執行預防”安全策略觸發。所有這些檢測到的事件都會進行防護並導致該漏洞利用失敗。
圖一:FortiEDR 顯示了利用 Follina 漏洞相關的異常可視化惡意行為展示
下方圖二的截圖中顯示了 FortiEDR 鑑識介面堆棧視圖(Stack view)。此視圖允許我們查看傳遞給 Microsoft 診斷工具(msdt.exe)的 cmdline 參數,這些參數與 localhost 上託管的模擬惡意網頁提供的“惡意負載”相匹配。
圖二:FortiEDR 堆棧視圖顯示了 msdt.exe 進程的 cmdline 參數,其中包含從模擬惡意網頁中檢索到的模擬 “惡意負載”
下方圖三顯示了第三個安全事件,該事件顯示了為“echo”命令創建了一個子進程,該命令構成了模擬“惡意負載”的最後一部分。
圖三:執行文本漏洞生成的第三個 FortiEDR 安全事件,顯示執行“模擬惡意負載”
要在目標環境中利用此漏洞,駭客必須向受害者提供合適的惡意檔案,並且使用者必須下載並打開或滑鼠停留在在惡意文件檔上才能執行。
電子郵件的過濾可能會阻止惡意文件傳送到受害者端(例如 FortiMail)。
即使抵達受害者之後,FortiEDR 也可以針對本次攻擊產生的中繼站連線自動進行防火牆聯合防禦,新型攻擊產生的中繼站都會被 FortiGuard Labs 再次檢查,並可以很輕鬆的在 FortiEDR 界面上直接設定,大幅地減少資安管理人員的負擔。大大的降低資安管理人員的管理 EDR 的負擔。
以上說明 FortiEDR 可以透過原生具備多重的防護機制,提供資安事件事前、事中及事後的的防護演示,以這次 CVE-2022-30190 MSDT 零時差漏洞 Follina 為例。
最後,此漏洞演示了一種代碼執行方法,但 FortiEDR 提供對終端主機的全面保護,任何利用後的惡意行為活動都應被 FortiEDR 解決方案阻止。
★ Fortinet 推出【端點防護策略地圖】,快跟著我們一起解鎖,
