Nieuwe beveiligingsupdates van Microsoft lossen Windows zero-day kwetsbaarheid Follina-probleem op

Think De computer laten leeglopen, is er een voortdurende kwetsbaarheid in Windows die Microsoft onlangs heeft gepatcht. Op 30 mei stelde Microsoft enkele tijdelijke oplossingen voor om het probleem aan te pakken. Desalniettemin zullen de updates voor Windows 10 KB5014699 en Windows 11 KB5014697 automatisch alles voor gebruikers oplossen, waardoor ze zeer urgent zijn voor alle gebruikers.

"De update voor dit beveiligingslek zit in de cumulatieve Windows Updates van juni 2022", zegt Microsoft. “Microsoft raadt klanten ten zeerste aan om de updates te installeren om volledig beschermd te zijn tegen de kwetsbaarheid. Klanten van wie de systemen zijn geconfigureerd om automatische updates te ontvangen, hoeven geen verdere actie te ondernemen.”

Bleeping Computer zegt dat de beveiligingsfout genaamd Follina is gevolgd omdat CVE-2022-30190 versies van Windows dekt die nog steeds beveiligingsupdates ontvangen, waaronder Windows 7+ en Server 2008+. Het wordt misbruikt door hackers om controle te krijgen over de computers van een gebruiker door kwaadaardige PowerShell-opdrachten uit te voeren via Microsoft Support Diagnostic Tool (MSDT), zoals beschreven door het onafhankelijke onderzoeksteam voor cyberbeveiliging nao_sec. Dit betekent dat de Arbitrary Code Execution (ACE)-aanvallen kunnen plaatsvinden door eenvoudig een voorbeeld te bekijken of een kwaadaardig Microsoft Word-document te openen. Interessant, beveiligingsonderzoeker CrazymanLeger vertelde het beveiligingsteam van Microsoft over de zero-day in april, maar het bedrijf zei gewoon: ontslagen het ingediende rapport, waarin staat: "het is geen veiligheidsgerelateerd probleem."

TA413 CN APT zag ITW misbruik maken van de #Follina #0Dag URL's gebruiken om Zip-archieven te leveren die Word-documenten bevatten die de techniek gebruiken. Campagnes imiteren de "Women Empowerments Desk" van de Centrale Tibetaanse Administratie en gebruiken het domein tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Bedreigingsinzicht (@threatinsight) 31 mei 2022

In een verslag van het beveiligingsonderzoeksbureau Proofpoint, een groep die banden heeft met de Chinese overheid, genaamd Chinese TA413, richtte zich op Tibetaanse gebruikers door hen kwaadaardige documenten te sturen. "TA413 CN APT zag ITW misbruik maken van de #Follina #0Day met behulp van URL's om zip-archieven te leveren die Word-documenten bevatten die de techniek gebruiken", schrijft Proofpoint in een tweet. "Campagnes imiteren de 'Women Empowerments Desk' van de Centrale Tibetaanse Administratie en gebruiken de domein tibet-gov.web[.]app."

Blijkbaar is de genoemde groep niet de enige die misbruik maakt van de kwetsbaarheid. Andere staatsgerelateerde en onafhankelijke kwaadwillenden maken er al geruime tijd gebruik van, waaronder een groep die een document vermomde als een memo over salarisverhoging om Amerikaanse en EU-overheidsinstanties te phishing. Anderen zijn de TA570 Qbot-filiaal die Qbot-malware levert en de eerste aanvallen die werden gezien met behulp van sextortion bedreigingen en aas zoals Spoetnik Radio interview uitnodiging. 

Eenmaal geopend, stellen de verzonden geïnfecteerde documenten hackers in staat om MDST te controleren en opdrachten uit te voeren, wat leidt tot ongeoorloofde programma-installaties en toegang tot computergegevens die hackers kunnen bekijken, verwijderen of wijzigen. Acteurs kunnen ook nieuwe gebruikersaccounts aanmaken via de computer van de gebruiker.