Microsoftova nova sigurnosna ažuriranja rješavaju problem Follina ranjivosti nultog dana u sustavu Windows

Prema Računalo za spavanje, u sustavu Windows postoji stalna ranjivost koju je Microsoft nedavno zakrpio. Microsoft je 30. svibnja predložio neka rješenja za rješavanje problema. Ipak, ažuriranja za Windows 10 KB5014699 i Windows 11 KB5014697 automatski će riješiti sve za korisnike, što ih čini vrlo hitnim za sve korisnike.

"Ažuriranje za ovu ranjivost nalazi se u kumulativnim ažuriranjima sustava Windows iz lipnja 2022.", kaže Microsoft. “Microsoft snažno preporučuje da korisnici instaliraju ažuriranja kako bi bili u potpunosti zaštićeni od ranjivosti. Korisnici čiji su sustavi konfigurirani za primanje automatskih ažuriranja ne moraju poduzimati nikakve daljnje radnje.”

Bleeping Computer kaže da sigurnosni propust pod nazivom Follina praćen kao CVE-2022-30190 pokriva verzije sustava Windows koje još uvijek primaju sigurnosna ažuriranja, uključujući Windows 7+ i Server 2008+. Hakeri ga iskorištavaju kako bi preuzeli kontrolu nad korisničkim računalima izvršavanjem zlonamjernih naredbi PowerShell putem dijagnostičkog alata Microsoft Support Diagnostic Tool (MSDT), kako je opisao neovisni istraživački tim za kibernetičku sigurnost nao_sec. To znači da se napadi proizvoljnog izvršavanja koda (ACE) mogu dogoditi jednostavnim pregledom ili otvaranjem zlonamjernog Microsoft Word dokumenta. Zanimljivo, istraživač sigurnosti CrazymanArmy rekao je Microsoftovom sigurnosnom timu o nultom danu u travnju, ali tvrtka jednostavno razrješava podneseno izvješće, u kojem se navodi da "to nije sigurnosno pitanje".

TA413 CN APT uočio je ITW kako iskorištava #Follina #0 Dan korištenjem URL-ova za isporuku Zip arhiva koje sadrže Word dokumente koji koriste tu tehniku. Kampanje oponašaju "Desk za osnaživanje žena" Središnje tibetanske uprave i koriste domenu tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Uvid u prijetnje (@threatinsight) Neka 31, 2022

U prijaviti iz tvrtke za istraživanje sigurnosti Proofpoint, grupe povezane s kineskom vladom pod imenom kineski TA413, ciljala je na tibetanske korisnike slanjem zlonamjernih dokumenata. “TA413 CN APT uočio je ITW kako iskorištava #Follina #0Day koristeći URL-ove za isporuku Zip arhiva koji sadrže Word dokumente koji koriste tu tehniku,” piše Proofpoint u tweetu. "Kampanje oponašaju 'Women Empowerments Desk' Središnje tibetanske uprave i koriste domenu tibet-gov.web[.]app."

Očigledno, spomenuta skupina nije jedina koja iskorištava ranjivost. Drugi loši akteri povezani s državom i neovisni to već neko vrijeme iskorištavaju, uključujući skupinu koja je prikrila dokument kao dopis o povećanju plaće kako bi phishirala vladine agencije SAD-a i EU-a. Drugi uključuju TA570 Qbot podružnica koji isporučuje zlonamjerni softver Qbot i prve napade koji su viđeni u korištenju prijetnje seksualnim iznuđivanjem i mamci poput Poziv za intervju radija Sputnjik. 

Nakon otvaranja, poslani zaraženi dokumenti omogućit će hakerima da kontroliraju MDST i izvršavaju naredbe, što će dovesti do nedopuštenih instalacija programa i pristupa računalnim podacima koje hakeri mogu pregledavati, brisati ili mijenjati. Glumci također mogu kreirati nove korisničke račune putem računala korisnika.