Die neuen Sicherheitsupdates von Microsoft beheben das Problem der Zero-Day-Schwachstelle Follina in Windows

Laut Piepender Computer, gibt es eine anhaltende Schwachstelle in Windows, die Microsoft kürzlich gepatcht hat. Am 30. Mai schlug Microsoft einige Problemumgehungen vor, um das Problem zu beheben. Nichtsdestotrotz lösen die Updates für Windows 10 KB5014699 und Windows 11 KB5014697 automatisch alles für Benutzer, was sie für alle Benutzer sehr dringend macht.

„Das Update für diese Schwachstelle ist in den kumulativen Windows-Updates vom Juni 2022 enthalten“, sagt Microsoft. „Microsoft empfiehlt Kunden dringend, die Updates zu installieren, um vollständig vor der Schwachstelle geschützt zu sein. Kunden, deren Systeme so konfiguriert sind, dass sie automatische Updates erhalten, müssen keine weiteren Maßnahmen ergreifen.“

Bleeping Computer sagt, dass die Sicherheitslücke namens Follina, die als CVE-2022-30190 verfolgt wird, Versionen von Windows abdeckt, die noch Sicherheitsupdates erhalten, einschließlich Windows 7+ und Server 2008+. Es wird von Hackern ausgenutzt, um die Kontrolle über die Computer eines Benutzers zu erlangen, indem böswillige PowerShell-Befehle über das Microsoft Support Diagnostic Tool (MSDT) ausgeführt werden, wie vom unabhängigen Forschungsteam für Cybersicherheit beschrieben nao_sec. Dies bedeutet, dass die Arbitrary Code Execution (ACE)-Angriffe durch einfaches Anzeigen oder Öffnen eines schädlichen Microsoft Word-Dokuments erfolgen können. Interessanterweise Sicherheitsforscher CrazymanArmee erzählte Microsofts Sicherheitsteam über den Zero-Day im April, aber das Unternehmen einfach entlassen In dem eingereichten Bericht heißt es: „Es handelt sich nicht um ein sicherheitsrelevantes Problem.“

TA413 CN APT entdeckte, dass ITW die #Folline #0Tag Verwenden von URLs zum Bereitstellen von Zip-Archiven, die Word-Dokumente enthalten, die diese Technik verwenden. Kampagnen imitieren das "Women Empowerments Desk" der Zentraltibetischen Verwaltung und verwenden die Domain tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

– Threat Insight (@threatinsight) 31. Mai 2022

In einer berichten vom Sicherheitsforschungsunternehmen Proofpoint, einer mit der chinesischen Regierung verbundenen Gruppe namens Chinese TA413, zielte auf tibetische Benutzer ab, indem sie ihnen bösartige Dokumente schickte. „TA413 CN APT hat entdeckt, dass ITW den #Follina #0Day ausgenutzt hat, indem URLs verwendet wurden, um Zip-Archive bereitzustellen, die Word-Dokumente enthalten, die diese Technik verwenden“, schreibt Proofpoint in einem Tweet. „Kampagnen imitieren das ‚Women Empowerments Desk‘ der tibetischen Zentralverwaltung und verwenden die Domain tibet-gov.web[.]app.“

Anscheinend ist die besagte Gruppe nicht die einzige, die die Schwachstelle ausnutzt. Andere staatsnahe und unabhängige Angreifer machen sich das schon seit geraumer Zeit zunutze, darunter eine Gruppe, die ein Dokument als Memo zur Gehaltserhöhung tarnte, um US- und EU-Regierungsbehörden zu phishen. Andere umfassen die TA570 Qbot-Partner das liefert Qbot-Malware und die ersten Angriffe, die mit gesehen wurden Sextortion Drohungen und Köder mögen Sputnik Radio-Interview-Einladung. 

Nach dem Öffnen ermöglichen die gesendeten infizierten Dokumente Hackern, MDST zu kontrollieren und Befehle auszuführen, was zu unerlaubten Programminstallationen und Zugriff auf Computerdaten führt, die Hacker anzeigen, löschen oder ändern können. Akteure können auch neue Benutzerkonten über den Computer des Benutzers erstellen.