עדכוני האבטחה החדשים של מיקרוסופט פותרים את בעיית הפגיעות של Windows Zero Day Follina
2 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
לפי מחשב, קיימת פגיעות מתמשכת ב-Windows שמיקרוסופט תיקנה לאחרונה. ב-30 במאי, Microsoft הציעה כמה דרכים לעקיפת הבעיה. עם זאת, העדכונים של Windows 10 KB5014699 ו-Windows 11 KB5014697 יפתרו הכל באופן אוטומטי עבור המשתמשים, מה שיהפוך אותם דחופים מאוד עבור כל המשתמשים.
"העדכון לפגיעות זו נמצא בעדכוני Windows המצטברים של יוני 2022", אומרת מיקרוסופט. "מיקרוסופט ממליצה בחום ללקוחות להתקין את העדכונים כדי להיות מוגנים לחלוטין מפני הפגיעות. לקוחות שהמערכות שלהם מוגדרות לקבל עדכונים אוטומטיים אינם צריכים לנקוט בפעולה נוספת".
Bleeping Computer טוענת כי פגם האבטחה שנקרא Follina המעקב כ-CVE-2022-30190 מכסה גרסאות של Windows שעדיין מקבלות עדכוני אבטחה, כולל Windows 7+ ו- Server 2008+. זה מנוצל על ידי האקרים כדי לקבל שליטה על מחשבי המשתמש על ידי ביצוע פקודות PowerShell זדוניות באמצעות Microsoft Support Diagnostic Tool (MSDT), כפי שתואר על ידי צוות המחקר הבלתי תלוי בתחום אבטחת הסייבר nao_sec. המשמעות היא שהתקפות ביצוע קוד שרירותי (ACE) יכולות להתרחש על ידי תצוגה מקדימה או פתיחה של מסמך זדוני של Microsoft Word. מעניין, חוקר אבטחה Crazyman Army סיפר לצוות האבטחה של מיקרוסופט על יום האפס באפריל, אבל החברה פשוט מְפוּטָר הדו"ח שהוגש, ואמר "זה לא נושא הקשור לביטחון".
TA413 CN APT זיהה את ITW מנצל את #פולינה #0 יום שימוש בכתובות URL כדי להעביר ארכיוני Zip המכילים מסמכי Word המשתמשים בטכניקה. מסעות פרסום מתחזים ל"דלפק העצמת נשים" של המינהל הטיבטי המרכזי ומשתמשים בדומיין tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4
- תובנת איומים (@threatinsight) מאי 31, 2022
ב לדווח מחברת מחקר האבטחה Proofpoint, קבוצה המקושרת לממשלת סין בשם TA413 הסינית פנתה למשתמשים טיבטים על ידי שליחת מסמכים זדוניים. "TA413 CN APT זיהתה את ITW מנצלת את #Follina #0Day באמצעות כתובות URL כדי לספק ארכיוני Zip המכילים מסמכי Word המשתמשים בטכניקה", כותבת Proofpoint בציוץ. "קמפיינים מתחזים ל'דלפק העצמת נשים' של המינהל הטיבטי המרכזי ומשתמשים באפליקציית הדומיין tibet-gov.web[.]."
ככל הנראה, הקבוצה האמורה אינה היחידה שמנצלת את הפגיעות. שחקנים רעים אחרים הקשורים למדינה ועצמאיים מנצלים את זה כבר די הרבה זמן, כולל קבוצה שהסווה מסמך כתזכיר להעלאת שכר כדי לחזות סוכנויות ממשלתיות בארה"ב ובאיחוד האירופי. אחרים כוללים את TA570 שותף של Qbot שמספקת תוכנות זדוניות של Qbot ואת ההתקפות הראשונות שנראו באמצעות איומי סנס ופיתיונות כמו הזמנה לראיון ברדיו ספוטניק.
לאחר פתיחתם, המסמכים הנגועים שנשלחו יאפשרו להאקרים לשלוט ב-MDST ולבצע פקודות, מה שיוביל להתקנות תוכניות בלתי מורשות וגישה לנתוני מחשב שהאקרים יכולים להציג, למחוק או לשנות. שחקנים יכולים גם ליצור חשבונות משתמש חדשים דרך המחשב של המשתמש.
