Nové aktualizace zabezpečení od společnosti Microsoft řeší problém se zranitelností systému Windows zero-day Follina

Podle Bleeping počítač, ve Windows se stále vyskytuje chyba zabezpečení, kterou společnost Microsoft nedávno opravila. 30. května společnost Microsoft navrhla některá řešení problému. Nicméně aktualizace Windows 10 KB5014699 a Windows 11 KB5014697 automaticky vyřeší vše pro uživatele, takže jsou pro všechny uživatele velmi naléhavé.

„Aktualizace této chyby zabezpečení je součástí kumulativních aktualizací systému Windows z června 2022,“ říká Microsoft. „Microsoft důrazně doporučuje, aby si zákazníci nainstalovali aktualizace, aby byli plně chráněni před touto chybou zabezpečení. Zákazníci, jejichž systémy jsou nakonfigurovány pro příjem automatických aktualizací, nemusí podnikat žádné další kroky.“

Bleeping Computer říká, že bezpečnostní chyba Follina sledovaná jako CVE-2022-30190 pokrývá verze Windows, které stále dostávají aktualizace zabezpečení, včetně Windows 7+ a Server 2008+. Zneužívají jej hackeři k získání kontroly nad počítači uživatele prováděním škodlivých příkazů PowerShell prostřednictvím nástroje Microsoft Support Diagnostic Tool (MSDT), jak je popsáno nezávislým týmem výzkumu kybernetické bezpečnosti. nao_sec. To znamená, že k útokům Arbitrary Code Execution (ACE) může dojít pouhým zobrazením náhledu nebo otevřením škodlivého dokumentu Microsoft Word. Zajímavé, bezpečnostní výzkumník CrazymanArmáda řekl bezpečnostnímu týmu Microsoftu o nultém dni v dubnu, ale společnost jednoduše zamítnut předložená zpráva s tím, že „nejde o problém související s bezpečností“.

TA413 CN APT zaznamenal ITW využívající #Follina #0 den pomocí adres URL k doručování archivů ZIP, které obsahují dokumenty aplikace Word využívající tuto techniku. Kampaně se vydávají za „Women Empowerments Desk“ ústřední tibetské správy a používají doménovou aplikaci tibet-gov.web[.] pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) 31

V zprávy z bezpečnostní výzkumné společnosti Proofpoint, skupina napojená na čínskou vládu s názvem Chinese TA413 se zaměřila na tibetské uživatele tím, že jim posílala škodlivé dokumenty. „TA413 CN APT si všiml ITW, jak využívá #Follina #0Day pomocí URL k doručování archivů ZIP, které obsahují dokumenty Word, které používají tuto techniku,“ píše Proofpoint ve svém tweetu. „Kampaně se vydávají za ‚Women Empowerments Desk‘ ústřední tibetské správy a používají doménovou aplikaci tibet-gov.web[.].“

Zmíněná skupina zjevně není jediná, která tuto zranitelnost využívá. Jiní státní a nezávislí špatní aktéři toho využívají již nějakou dobu, včetně skupiny, která zamaskovala dokument jako memorandum o zvýšení platu, aby napálila vládní agentury USA a EU. Mezi další patří Pobočka TA570 Qbot který přináší malware Qbot a první útoky, které byly pozorovány při použití vyhrožování vydíráním a návnady jako Pozvánka na rozhovor pro rádio Sputnik. 

Po otevření zaslané infikované dokumenty umožní hackerům ovládat MDST a provádět příkazy, což povede k nepovoleným instalacím programů a přístupu k počítačovým datům, která mohou hackeři prohlížet, mazat nebo měnit. Aktéři mohou také vytvářet nové uživatelské účty prostřednictvím počítače uživatele.