Οι νέες ενημερώσεις ασφαλείας της Microsoft επιλύουν το θέμα ευπάθειας Follina των Windows zero-day

Σύμφωνα με Bleeping Computer, υπάρχει μια συνεχιζόμενη ευπάθεια στα Windows την οποία η Microsoft έχει επιδιορθώσει πρόσφατα. Στις 30 Μαΐου, η Microsoft πρότεινε κάποιες λύσεις για την αντιμετώπιση του προβλήματος. Ωστόσο, οι ενημερώσεις των Windows 10 KB5014699 και Windows 11 KB5014697 θα επιλύσουν αυτόματα τα πάντα για τους χρήστες, καθιστώντας τις εξαιρετικά επείγουσες για όλους τους χρήστες.

«Η ενημέρωση για αυτήν την ευπάθεια βρίσκεται στις αθροιστικές ενημερώσεις των Windows του Ιουνίου 2022», λέει η Microsoft. «Η Microsoft συνιστά ανεπιφύλακτα στους πελάτες να εγκαταστήσουν τις ενημερώσεις για να προστατεύονται πλήρως από την ευπάθεια. Οι πελάτες των οποίων τα συστήματα έχουν ρυθμιστεί να λαμβάνουν αυτόματες ενημερώσεις δεν χρειάζεται να προβούν σε περαιτέρω ενέργειες.»

Η Bleeping Computer λέει ότι το ελάττωμα ασφαλείας που ονομάζεται Follina που παρακολουθείται ως CVE-2022-30190 καλύπτει εκδόσεις των Windows που εξακολουθούν να λαμβάνουν ενημερώσεις ασφαλείας, συμπεριλαμβανομένων των Windows 7+ και του Server 2008+. Το εκμεταλλεύονται χάκερ για να αποκτήσουν τον έλεγχο των υπολογιστών ενός χρήστη εκτελώντας κακόβουλες εντολές PowerShell μέσω του Microsoft Support Diagnostic Tool (MSDT), όπως περιγράφεται από την ανεξάρτητη ερευνητική ομάδα κυβερνοασφάλειας nao_sec. Αυτό σημαίνει ότι οι επιθέσεις Αυθαίρετης Εκτέλεσης Κώδικα (ACE) μπορούν να συμβούν με απλή προεπισκόπηση ή άνοιγμα ενός κακόβουλου εγγράφου του Microsoft Word. Είναι ενδιαφέρον, ερευνητής ασφάλειας CrazymanArmy είπε στην ομάδα ασφαλείας της Microsoft για την ημέρα μηδέν τον Απρίλιο, αλλά η εταιρεία απλά απορρίφθηκε υποβλήθηκε η έκθεση, λέγοντας ότι «δεν είναι θέμα ασφάλειας».

Το TA413 CN APT εντόπισε το ITW να εκμεταλλεύεται το #Follina #0Ημέρα χρησιμοποιώντας διευθύνσεις URL για την παράδοση Zip Archives που περιέχουν έγγραφα Word που χρησιμοποιούν την τεχνική. Οι καμπάνιες μιμούνται το "Γραφείο Ενδυνάμωσης των Γυναικών" της Κεντρικής Διοίκησης του Θιβέτ και χρησιμοποιούν την εφαρμογή τομέα tibet-gov.web[.] pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) 31 Μαΐου 2022

Σε αναφέρουν από την εταιρεία ερευνών ασφαλείας Proofpoint, μια ομάδα συνδεδεμένη με την κινεζική κυβέρνηση με το όνομα κινέζικο TA413 στόχευσε Θιβετιανούς χρήστες στέλνοντάς τους κακόβουλα έγγραφα. "Το TA413 CN APT εντόπισε το ITW να εκμεταλλεύεται το #Follina #0Day χρησιμοποιώντας διευθύνσεις URL για την παράδοση Zip Archives που περιέχουν έγγραφα Word που χρησιμοποιούν την τεχνική", γράφει η Proofpoint σε ένα tweet. «Οι καμπάνιες μιμούνται το «Γραφείο Ενδυνάμωσης των Γυναικών» της Κεντρικής Διοίκησης του Θιβέτ και χρησιμοποιούν την εφαρμογή domain tibet-gov.web[.]».

Προφανώς, η εν λόγω ομάδα δεν είναι η μόνη που εκμεταλλεύεται την ευπάθεια. Άλλοι κακοί παράγοντες που σχετίζονται με το κράτος και ανεξάρτητοι το εκμεταλλεύονται εδώ και αρκετό καιρό, συμπεριλαμβανομένης μιας ομάδας που συγκάλυπτε ένα έγγραφο ως σημείωμα αύξησης μισθού για να ψαρέψει τις κυβερνητικές υπηρεσίες των ΗΠΑ και της ΕΕ. Άλλα περιλαμβάνουν το TA570 θυγατρική Qbot που παραδίδει κακόβουλο λογισμικό Qbot και τις πρώτες επιθέσεις που χρησιμοποιήθηκαν απειλές εκβιασμού και δολώματα όπως Πρόσκληση για συνέντευξη στο ραδιόφωνο Sputnik. 

Μόλις ανοιχτούν, τα μολυσμένα έγγραφα που αποστέλλονται θα επιτρέψουν στους χάκερ να ελέγχουν το MDST και να εκτελούν εντολές, οδηγώντας σε μη επιτρεπόμενες εγκαταστάσεις προγραμμάτων και πρόσβαση σε δεδομένα υπολογιστή που μπορούν να δουν, να διαγράψουν ή να αλλάξουν οι χάκερ. Οι ηθοποιοί μπορούν επίσης να δημιουργήσουν νέους λογαριασμούς χρηστών μέσω του υπολογιστή του χρήστη.