I nuovi aggiornamenti di sicurezza di Microsoft risolvono il problema della vulnerabilità zero-day di Windows Follina

Secondo Bleeping Computer, c'è una vulnerabilità in corso in Windows che Microsoft ha recentemente corretto. Il 30 maggio Microsoft ha suggerito alcune soluzioni alternative per risolvere il problema. Tuttavia, gli aggiornamenti di Windows 10 KB5014699 e Windows 11 KB5014697 risolveranno automaticamente tutto per gli utenti, rendendoli estremamente urgenti per tutti gli utenti.

"L'aggiornamento per questa vulnerabilità è negli aggiornamenti cumulativi di Windows di giugno 2022", afferma Microsoft. “Microsoft consiglia vivamente ai clienti di installare gli aggiornamenti per essere completamente protetti dalla vulnerabilità. I clienti i cui sistemi sono configurati per ricevere aggiornamenti automatici non devono intraprendere ulteriori azioni".

Bleeping Computer afferma che il difetto di sicurezza chiamato Follina monitorato come CVE-2022-30190 copre le versioni di Windows che stanno ancora ricevendo aggiornamenti di sicurezza, inclusi Windows 7+ e Server 2008+. Viene sfruttato dagli hacker per ottenere il controllo dei computer di un utente eseguendo comandi PowerShell dannosi tramite Microsoft Support Diagnostic Tool (MSDT), come descritto dal team di ricerca indipendente sulla sicurezza informatica nao_sec. Ciò significa che gli attacchi Arbitrary Code Execution (ACE) possono verificarsi semplicemente visualizzando in anteprima o aprendo un documento Microsoft Word dannoso. È interessante notare che ricercatore di sicurezza Crazyman Army ha detto al team di sicurezza di Microsoft dello zero-day di aprile, ma la società semplicemente destituito il rapporto presentato, dicendo che "non è un problema relativo alla sicurezza".

TA413 CN APT ha individuato ITW sfruttare il #Follina #0Giorno utilizzando gli URL per fornire archivi Zip che contengono documenti Word che utilizzano la tecnica. Le campagne impersonano il "Women Empowerments Desk" dell'amministrazione centrale tibetana e utilizzano il dominio tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Analisi delle minacce (@analisi delle minacce) 31 Maggio 2022

In un rapporto dalla società di ricerca sulla sicurezza Proofpoint, un gruppo legato al governo cinese chiamato TA413 cinese ha preso di mira gli utenti tibetani inviando loro documenti dannosi. "TA413 CN APT ha individuato ITW sfruttare il #Follina #0Day utilizzando gli URL per fornire archivi zip che contengono documenti Word che utilizzano la tecnica", scrive Proofpoint in un tweet. "Le campagne impersonano il 'Women Empowerments Desk' dell'amministrazione centrale tibetana e utilizzano il dominio tibet-gov.web[.]app."

Apparentemente, il suddetto gruppo non è l'unico a sfruttare la vulnerabilità. Altri malintenzionati legati allo stato e indipendenti ne stanno approfittando da un po' di tempo ormai, incluso un gruppo che ha mascherato un documento come una nota sull'aumento di stipendio al fine di phishing alle agenzie governative statunitensi e europee. Altri includono il TA570 Affiliato Qbot che fornisce malware Qbot e i primi attacchi che sono stati visti utilizzare minacce di sestorsione ed esche come Invito all'intervista di Sputnik Radio. 

Una volta aperti, i documenti infetti inviati consentiranno agli hacker di controllare MDST ed eseguire comandi, portando a installazioni di programmi non consentite e accesso ai dati del computer che gli hacker possono visualizzare, eliminare o alterare. Gli attori possono anche creare nuovi account utente tramite il computer dell'utente.