Microsofts nye sikkerhetsoppdateringer løser Windows nulldagssårbarhet Follina-problemet

Ifølge Bleeping Computer, er det en pågående sårbarhet i Windows som Microsoft nylig har rettet. 30. mai foreslo Microsoft noen løsninger for å løse problemet. Ikke desto mindre vil oppdateringene for Windows 10 KB5014699 og Windows 11 KB5014697 automatisk løse alt for brukere, noe som gjør dem svært presserende for alle brukere.

"Oppdateringen for dette sikkerhetsproblemet er i de kumulative Windows-oppdateringene fra juni 2022," sier Microsoft. "Microsoft anbefaler sterkt at kunder installerer oppdateringene for å være fullstendig beskyttet mot sårbarheten. Kunder hvis systemer er konfigurert til å motta automatiske oppdateringer, trenger ikke foreta seg noe mer."

Bleeping Computer sier at sikkerhetsfeilen kalt Follina spores som CVE-2022-30190 dekker versjoner av Windows som fortsatt mottar sikkerhetsoppdateringer, inkludert Windows 7+ og Server 2008+. Den blir utnyttet av hackere for å få kontroll over en brukers datamaskiner ved å utføre ondsinnede PowerShell-kommandoer via Microsoft Support Diagnostic Tool (MSDT), som beskrevet av det uavhengige cybersikkerhetsforskningsteamet nao_sek. Dette betyr at ACE-angrepene (Arbitrary Code Execution) kan skje ved å forhåndsvise eller åpne et ondsinnet Microsoft Word-dokument. Interessant nok, sikkerhetsforsker Crazyman Army fortalte Microsofts sikkerhetsteam om nulldagen i april, men selskapet rett og slett avvist rapporten som ble sendt inn, og sa "det er ikke et sikkerhetsrelatert problem."

TA413 CN APT oppdaget at ITW utnyttet #Follina #0 dag bruke URL-er for å levere Zip-arkiver som inneholder Word-dokumenter som bruker teknikken. Kampanjer etterligner «Women Empowerments Desk» til Central Tibetan Administration og bruker domenet tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) Kan 31, 2022

I en rapporterer fra sikkerhetsforskningsselskapet Proofpoint, en gruppe knyttet til den kinesiske regjeringen ved navn kinesiske TA413 målrettet tibetanske brukere ved å sende dem ondsinnede dokumenter. "TA413 CN APT oppdaget at ITW utnyttet #Follina #0Day ved å bruke URL-er for å levere Zip-arkiver som inneholder Word-dokumenter som bruker teknikken," skriver Proofpoint i en tweet. «Kampanjer etterligner «Women Empowerments Desk» til den sentrale tibetanske administrasjonen og bruker domenet tibet-gov.web[.]app.»

Tilsynelatende er den nevnte gruppen ikke den eneste som utnytter sårbarheten. Andre statsrelaterte og uavhengige dårlige aktører har benyttet seg av det i ganske lang tid nå, inkludert en gruppe som forkledd et dokument som et lønnsøkningsnotat for å phishe amerikanske og EU-myndigheter. Andre inkluderer TA570 Qbot-tilknyttet som leverer Qbot malware og de første angrepene som ble sett med trusler om sextorsjon og agn som Sputnik Radio-intervjuinvitasjon. 

Når de er åpnet, vil de infiserte dokumentene som sendes tillate hackere å kontrollere MDST og utføre kommandoer, noe som fører til utillatte programinstallasjoner og tilgang til datadata som hackere kan se, slette eller endre. Skuespillere kan også opprette nye brukerkontoer gjennom brukerens datamaskin.