Microsoftin uudet tietoturvapäivitykset ratkaisevat Windowsin nollapäivän haavoittuvuuden Follina-ongelman

Mukaan Bleeping Computer, Windowsissa on meneillään oleva haavoittuvuus, jonka Microsoft on äskettäin korjannut. Microsoft ehdotti 30. toukokuuta joitakin ratkaisuja ongelman ratkaisemiseksi. Siitä huolimatta Windows 10 KB5014699- ja Windows 11 KB5014697 -päivitykset ratkaisevat automaattisesti kaiken käyttäjien kannalta, mikä tekee niistä erittäin kiireellisiä kaikille käyttäjille.

"Tämän haavoittuvuuden päivitys on kesäkuun 2022 kumulatiivisissa Windows-päivityksissä", Microsoft sanoo. "Microsoft suosittelee voimakkaasti, että asiakkaat asentavat päivitykset ollakseen täysin suojattuja haavoittuvuudelta. Asiakkaiden, joiden järjestelmät on määritetty vastaanottamaan automaattisia päivityksiä, ei tarvitse tehdä mitään."

Bleeping Computer sanoo, että Follina-niminen tietoturvavirhe, jota jäljitetään nimellä CVE-2022-30190, kattaa Windows-versiot, jotka saavat edelleen tietoturvapäivityksiä, mukaan lukien Windows 7+ ja Server 2008+. Hakkerit käyttävät sitä hyväkseen saadakseen hallintaansa käyttäjän tietokoneita suorittamalla haitallisia PowerShell-komentoja Microsoft Support Diagnostic Toolin (MSDT) kautta, kuten riippumaton kyberturvallisuustutkimusryhmä on kuvannut. nao_sec. Tämä tarkoittaa, että mielivaltaisen koodin suorittamisen (ACE) hyökkäykset voivat tapahtua yksinkertaisesti esikatselemalla tai avaamalla haitallinen Microsoft Word -asiakirja. Mielenkiintoista, turvallisuustutkija Hullu Armeija kertoi Microsoftin tietoturvatiimille huhtikuun nollapäivästä, mutta yritys yksinkertaisesti hylätty toimitetun raportin mukaan "se ei ole turvallisuuteen liittyvä ongelma".

TA413 CN APT huomasi ITW:n hyödyntävän #Follina #0 päivä käyttämällä URL-osoitteita toimittamaan Zip-arkistot, jotka sisältävät Word-asiakirjoja, jotka käyttävät tekniikkaa. Kampanjat jäljittelevät Tiibetin keskushallinnon "Women Empowerments Deskiä" ja käyttävät verkkotunnusta tibet-gov.web[.] pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) Voi 31, 2022

Jonkin sisällä raportti turvallisuustutkimusyritykseltä Proofpoint, Kiinan hallitukseen linkitetty ryhmä nimeltä Chinese TA413 kohdistui tiibetiläisiin käyttäjiin lähettämällä heille haitallisia asiakirjoja. "TA413 CN APT huomasi ITW:n hyödyntävän #Follina #0Dayä käyttämällä URL-osoitteita toimittaakseen Zip-arkistoja, jotka sisältävät Word-asiakirjoja, jotka käyttävät tekniikkaa", Proofpoint kirjoittaa twiitissä. "Kampanjat jäljittelevät Tiibetin keskushallinnon "Women Empowerments Desk" -palvelua ja käyttävät verkkotunnusta tibet-gov.web[.].

Ilmeisesti mainittu ryhmä ei ole ainoa, joka käyttää haavoittuvuutta hyväkseen. Muut valtioon liittyvät ja riippumattomat huonot toimijat ovat käyttäneet sitä hyväkseen jo jonkin aikaa, mukaan lukien ryhmä, joka naamioi asiakirjan palkankorotusmuistioksi kalastellakseen Yhdysvaltain ja EU:n valtion virastoja. Muita ovat mm TA570 Qbotin tytäryhtiö joka toimittaa Qbot-haittaohjelmat ja ensimmäiset hyökkäykset, joita nähtiin käyttävän seksikiristyksellä uhkailut ja syöttejä kuten Kutsu Sputnik Radion haastatteluun. 

Kun tartunnan saaneet asiakirjat on avattu, hakkerit voivat hallita MDST:tä ja suorittaa komentoja, mikä johtaa luvattomiin ohjelmien asennuksiin ja pääsyyn tietokonetietoihin, joita hakkerit voivat tarkastella, poistaa tai muuttaa. Näyttelijät voivat myös luoda uusia käyttäjätilejä käyttäjän tietokoneen kautta.