Nowe aktualizacje zabezpieczeń firmy Microsoft rozwiązują problem luki zero-day w systemie Windows Follina

Zgodnie z Komputer spłukujący, istnieje trwała luka w systemie Windows, którą firma Microsoft ostatnio załatała. 30 maja Microsoft zasugerował kilka obejścia tego problemu. Niemniej jednak aktualizacje Windows 10 KB5014699 i Windows 11 KB5014697 automatycznie rozwiążą wszystko dla użytkowników, czyniąc je bardzo pilnymi dla wszystkich użytkowników.

„Aktualizacja tej luki znajduje się w zbiorczych aktualizacjach systemu Windows z czerwca 2022 r.” — mówi Microsoft. „Microsoft zdecydowanie zaleca klientom instalowanie aktualizacji w celu zapewnienia pełnej ochrony przed usterką. Klienci, których systemy są skonfigurowane do otrzymywania automatycznych aktualizacji, nie muszą podejmować żadnych dalszych działań”.

Bleeping Computer twierdzi, że luka w zabezpieczeniach o nazwie Follina śledzona jako CVE-2022-30190 obejmuje wersje systemu Windows, które wciąż otrzymują aktualizacje zabezpieczeń, w tym Windows 7+ i Server 2008+. Jest wykorzystywany przez hakerów do przejęcia kontroli nad komputerami użytkownika poprzez wykonanie złośliwych poleceń PowerShell za pomocą narzędzia Microsoft Support Diagnostic Tool (MSDT), zgodnie z opisem niezależnego zespołu badawczego ds. cyberbezpieczeństwa nao_sek. Oznacza to, że ataki typu Arbitrary Code Execution (ACE) mogą być przeprowadzane przez zwykły podgląd lub otwarcie złośliwego dokumentu Microsoft Word. Co ciekawe, badacz bezpieczeństwa Armia Szaleni powiedział zespołowi ds. bezpieczeństwa Microsoftu o dniu zerowym w kwietniu, ale firma po prostu Zwolnione w złożonym raporcie stwierdzono, że „to nie jest kwestia bezpieczeństwa”.

TA413 CN APT zauważył ITW wykorzystujący #Follina #0 dzień używanie adresów URL do dostarczania archiwów Zip, które zawierają dokumenty Word, które wykorzystują tę technikę. Kampanie podszywają się pod „Women Empowerments Desk” Centralnej Administracji Tybetańskiej i wykorzystują aplikację domeny tibet-gov.web[.] pic.twitter.com/4FA9Vzoqu4

— Wgląd w zagrożenia (@threatinsight) 31 maja 2022 r.

W raport z firmy zajmującej się badaniami bezpieczeństwa Proofpoint, grupa powiązana z chińskim rządem o nazwie Chinese TA413 atakowała tybetańskich użytkowników, wysyłając im złośliwe dokumenty. „TA413 CN APT zauważył, że ITW wykorzystuje #Follina #0Day, używając adresów URL do dostarczania archiwów Zip zawierających dokumenty Word, które wykorzystują tę technikę”, pisze Proofpoint w tweecie. „Kampanie podszywają się pod 'Women Empowerments Desk' Centralnej Administracji Tybetańskiej i wykorzystują aplikację domeny tibet-gov.web[.]”.

Najwyraźniej wspomniana grupa nie jest jedyną, która wykorzystuje tę lukę. Inni źli aktorzy państwowi i niezależni wykorzystują to od dłuższego czasu, w tym grupa, która zamaskowała dokument jako notatkę o podwyżce pensji w celu wyłudzenia informacji od agencji rządowych USA i UE. Inne obejmują Partner TA570 Qbot który dostarcza złośliwe oprogramowanie Qbot i pierwsze ataki, które zaobserwowano przy użyciu groźby sekstorsji i przynęty jak Zapraszam do wywiadu dla radia Sputnik. 

Po otwarciu wysłane zainfekowane dokumenty pozwolą hakerom kontrolować MDST i wykonywać polecenia, co prowadzi do niedozwolonych instalacji programów i dostępu do danych komputerowych, które hakerzy mogą przeglądać, usuwać lub zmieniać. Aktorzy mogą również tworzyć nowe konta użytkowników za pośrednictwem komputera użytkownika.