Microsofts nye sikkerhedsopdateringer løser Windows zero-day sårbarhed Follina-problemet

Ifølge Bleeping Computer, er der en vedvarende sårbarhed i Windows, som Microsoft for nylig har rettet. Den 30. maj foreslog Microsoft nogle løsninger til at løse problemet. Ikke desto mindre vil opdateringerne til Windows 10 KB5014699 og Windows 11 KB5014697 automatisk løse alt for brugerne, hvilket gør dem yderst presserende for alle brugere.

"Opdateringen til denne sårbarhed er i de kumulative Windows-opdateringer fra juni 2022," siger Microsoft. "Microsoft anbefaler på det kraftigste, at kunderne installerer opdateringerne for at være fuldt beskyttet mod sårbarheden. Kunder, hvis systemer er konfigureret til at modtage automatiske opdateringer, behøver ikke at foretage sig yderligere."

Bleeping Computer siger, at sikkerhedsfejlen kaldet Follina sporet som CVE-2022-30190 dækker versioner af Windows, der stadig modtager sikkerhedsopdateringer, inklusive Windows 7+ og Server 2008+. Det bliver udnyttet af hackere til at få kontrol over en brugers computere ved at udføre ondsindede PowerShell-kommandoer via Microsoft Support Diagnostic Tool (MSDT), som beskrevet af det uafhængige cybersikkerhedsforskningshold nao_sek. Dette betyder, at ACE-angrebene (Arbitrary Code Execution) kan forekomme ved blot at forhåndsvise eller åbne et ondsindet Microsoft Word-dokument. Interessant nok, sikkerhedsforsker Crazyman Army fortalte Microsofts sikkerhedsteam om nuldagen i april, men virksomheden simpelthen afskediget rapporten indsendt og sagde "det er ikke et sikkerhedsrelateret problem."

TA413 CN APT opdagede ITW udnytte #Follina #0 dag ved at bruge URL'er til at levere Zip-arkiver, som indeholder Word-dokumenter, der bruger teknikken. Kampagner efterligner "Women Empowerments Desk" i den centrale tibetanske administration og bruger domænet tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) Maj 31, 2022

I en indberette fra sikkerhedsforskningsfirmaet Proofpoint, en gruppe knyttet til den kinesiske regering ved navn kinesiske TA413 målrettede tibetanske brugere ved at sende dem ondsindede dokumenter. "TA413 CN APT så ITW udnytte #Follina #0Day ved at bruge URL'er til at levere Zip-arkiver, som indeholder Word-dokumenter, der bruger teknikken," skriver Proofpoint i et tweet. "Kampagner efterligner 'Women Empowerments Desk' i den centrale tibetanske administration og bruger domænet tibet-gov.web[.]app."

Tilsyneladende er den nævnte gruppe ikke den eneste, der udnytter sårbarheden. Andre statsrelaterede og uafhængige dårlige aktører har draget fordel af det i et stykke tid nu, herunder en gruppe, der forklædte et dokument som et lønforhøjelsesnotat for at phishe amerikanske og EU-statslige agenturer. Andre omfatter TA570 Qbot affiliate der leverer Qbot malware og de første angreb, der blev set ved hjælp af trusler om sextortion og lokkemad som Sputnik Radio interview invitation. 

Når de er åbnet, vil de sendte inficerede dokumenter give hackere mulighed for at kontrollere MDST og udføre kommandoer, hvilket fører til uautoriserede programinstallationer og adgang til computerdata, som hackere kan se, slette eller ændre. Skuespillere kan også oprette nye brugerkonti gennem brugerens computer.