Pembaruan keamanan baru Microsoft menyelesaikan masalah kerentanan Windows zero-day Follina

Menurut Bleeping Computer, ada kerentanan berkelanjutan di Windows yang baru-baru ini ditambal oleh Microsoft. Pada tanggal 30 Mei, Microsoft menyarankan beberapa solusi untuk mengatasi masalah tersebut. Meskipun demikian, pembaruan Windows 10 KB5014699 dan Windows 11 KB5014697 akan secara otomatis menyelesaikan semuanya untuk pengguna, menjadikannya sangat mendesak untuk semua pengguna.

“Pembaruan untuk kerentanan ini ada di Pembaruan Windows kumulatif Juni 2022,” kata Microsoft. “Microsoft sangat menyarankan agar pelanggan menginstal pembaruan agar sepenuhnya terlindungi dari kerentanan. Pelanggan yang sistemnya dikonfigurasi untuk menerima pembaruan otomatis tidak perlu mengambil tindakan lebih lanjut.”

Bleeping Computer mengatakan kelemahan keamanan yang disebut Follina dilacak karena CVE-2022-30190 mencakup versi Windows yang masih menerima pembaruan keamanan, termasuk Windows 7+ dan Server 2008+. Itu sedang dieksploitasi oleh peretas untuk mendapatkan kendali atas komputer pengguna dengan menjalankan perintah PowerShell yang berbahaya melalui Alat Diagnostik Dukungan Microsoft (MSDT), seperti yang dijelaskan oleh tim peneliti keamanan siber independen nao_detik. Ini berarti serangan Arbitrary Code Execution (ACE) dapat terjadi hanya dengan melihat pratinjau atau membuka dokumen Microsoft Word yang berbahaya. Menariknya, peneliti keamanan Tentara Gila memberi tahu tim keamanan Microsoft tentang zero-day di bulan April, tetapi perusahaan hanya dibubarkan laporan itu disampaikan, dengan mengatakan "itu bukan masalah yang berhubungan dengan keamanan."

TA413 CN APT melihat ITW mengeksploitasi #Follina #0Hari menggunakan URL untuk mengirimkan Arsip Zip yang berisi Dokumen Word yang menggunakan teknik tersebut. Kampanye meniru "Meja Pemberdayaan Wanita" dari Administrasi Tibet Pusat dan menggunakan aplikasi domain tibet-gov.web[.] pic.twitter.com/4FA9Vzoqu4

— Wawasan Ancaman (@wawasan ancaman) 31 Mei 2022

Di sebuah melaporkan dari perusahaan riset keamanan Proofpoint, sebuah grup yang terkait dengan pemerintah China bernama TA413 China menargetkan pengguna Tibet dengan mengirimkan dokumen berbahaya kepada mereka. “TA413 CN APT melihat ITW mengeksploitasi #Follina #0Day menggunakan URL untuk mengirimkan Arsip Zip yang berisi Dokumen Word yang menggunakan teknik tersebut,” tulis Proofpoint dalam tweet. “Kampanye meniru 'Meja Pemberdayaan Wanita' dari Administrasi Tibet Pusat dan menggunakan aplikasi domain tibet-gov.web[.].”

Rupanya, kelompok tersebut bukan satu-satunya yang mengeksploitasi kerentanan. Pelaku kejahatan terkait negara dan independen lainnya telah memanfaatkannya selama beberapa waktu sekarang, termasuk kelompok yang menyamarkan dokumen sebagai memo kenaikan gaji untuk mengelabui lembaga pemerintah AS dan UE. Lainnya termasuk TA570 Afiliasi Qbot yang mengirimkan malware Qbot dan serangan pertama yang terlihat menggunakan ancaman pemerasan dan umpan seperti Undangan wawancara Radio Sputnik. 

Setelah dibuka, dokumen terinfeksi yang dikirim akan memungkinkan peretas untuk mengontrol MDST dan menjalankan perintah, yang mengarah ke penginstalan program yang tidak diizinkan dan akses ke data komputer yang dapat dilihat, dihapus, atau diubah oleh peretas. Aktor juga dapat membuat akun pengguna baru melalui komputer pengguna.