A Microsoft új biztonsági frissítései megoldják a Windows nulladik napi sebezhetőségét, a Follina problémát

Szerint Bleeping Computer, egy folyamatban lévő biztonsági rés van a Windows rendszerben, amelyet a Microsoft nemrégiben javított ki. Május 30-án a Microsoft néhány megoldást javasolt a probléma megoldására. Mindazonáltal a Windows 10 KB5014699 és a Windows 11 KB5014697 frissítései automatikusan mindent megoldanak a felhasználók számára, így rendkívül sürgősek lesznek minden felhasználó számára.

„A biztonsági rés frissítése a 2022. júniusi összesített Windows-frissítésekben található” – mondja a Microsoft. „A Microsoft nyomatékosan javasolja az ügyfeleknek, hogy telepítsék a frissítéseket, hogy teljes mértékben védve legyenek a sérülékenységgel szemben. Azoknak az ügyfeleknek, akiknek rendszere úgy van beállítva, hogy automatikus frissítéseket kapjon, nem kell további lépéseket tenniük.”

A Bleeping Computer szerint a CVE-2022-30190 néven nyomon követett Follina nevű biztonsági hiba a Windows azon verzióit fedi le, amelyek még mindig biztonsági frissítéseket kapnak, beleértve a Windows 7+ és a Server 2008+ rendszert. A hackerek kihasználják, hogy a Microsoft támogatási diagnosztikai eszközén (MSDT) keresztül rosszindulatú PowerShell-parancsok végrehajtásával átvegyék az irányítást a felhasználók számítógépe felett, ahogy azt a független kiberbiztonsági kutatócsoport leírta. nao_sec. Ez azt jelenti, hogy az önkényes kódvégrehajtási (ACE) támadások egy rosszindulatú Microsoft Word-dokumentum előnézetének vagy megnyitásával történhetnek. Érdekes módon biztonságkutató Őrült hadsereg mondta a Microsoft biztonsági csapatának az áprilisi nulladik napról, de a cég egyszerűen elutasította a benyújtott jelentés szerint „ez nem biztonsági kérdés”.

A TA413 CN APT észrevette, hogy az ITW kihasználja a #Follina #0 nap URL-ek használatával a technikát használó Word dokumentumokat tartalmazó ZIP-archívumok kézbesítésére. A kampányok a Központi Tibeti Adminisztráció "Women Empowerments Desk"-jének adja ki magát, és a tibet-gov.web[.]app domaint használják pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) May 31, 2022

egy jelentést a Proofpoint biztonsági kutató cégtől a kínai kormánnyal kapcsolatban álló, kínai TA413 nevű csoport a tibeti felhasználókat célozta meg rosszindulatú dokumentumok küldésével. „A TA413 CN APT észrevette, hogy az ITW kihasználja a #Follina #0Day-t URL-ek segítségével a technikát használó Word dokumentumokat tartalmazó ZIP-archívumok kézbesítésére” – írja a Proofpoint egy tweetben. „A kampányok a Központi Tibeti Adminisztráció „Women Empowerments Desk”-jének adja ki magát, és a tibet-gov.web[.]app domaint használják.”

Úgy tűnik, nem az említett csoport az egyetlen, amely kihasználja a biztonsági rést. Más, államhoz kötődő és független rossz szereplők már jó ideje kihasználják, köztük egy olyan csoport, amely fizetésemelési feljegyzésnek álcázott egy dokumentumot, hogy az USA és az EU kormányszerveit adathalászattal végezze. Mások közé tartozik a A TA570 Qbot leányvállalata amely Qbot malware-t és az első észlelt támadásokat szállítja szextorziós fenyegetések és csalik, mint Meghívó a Szputnyik Rádió interjúra. 

Megnyitásuk után a fertőzött dokumentumok lehetővé teszik a hackerek számára az MDST vezérlését és parancsok végrehajtását, ami engedély nélküli programtelepítéshez és a számítógépes adatokhoz való hozzáféréshez vezet, amelyeket a hackerek megtekinthetnek, törölhetnek vagy módosíthatnak. A szereplők új felhasználói fiókokat is létrehozhatnak a felhasználó számítógépén keresztül.