Novas atualizações de segurança da Microsoft resolvem o problema Follina da vulnerabilidade de dia zero do Windows

De acordo com o Computador bleeping, há uma vulnerabilidade contínua no Windows que a Microsoft corrigiu recentemente. Em 30 de maio, a Microsoft sugeriu algumas soluções alternativas para resolver o problema. No entanto, as atualizações do Windows 10 KB5014699 e do Windows 11 KB5014697 resolverão tudo automaticamente para os usuários, tornando-as altamente urgentes para todos os usuários.

“A atualização para esta vulnerabilidade está nas atualizações cumulativas do Windows de junho de 2022”, diz a Microsoft. “A Microsoft recomenda fortemente que os clientes instalem as atualizações para ficarem totalmente protegidos contra a vulnerabilidade. Os clientes cujos sistemas estão configurados para receber atualizações automáticas não precisam fazer mais nada.”

O Bleeping Computer diz que a falha de segurança chamada Follina rastreada como CVE-2022-30190 cobre versões do Windows que ainda estão recebendo atualizações de segurança, incluindo Windows 7+ e Server 2008+. Ele está sendo explorado por hackers para obter o controle dos computadores de um usuário executando comandos maliciosos do PowerShell por meio da Microsoft Support Diagnostic Tool (MSDT), conforme descrito pela equipe independente de pesquisa de segurança cibernética nao_sec. Isso significa que os ataques de Execução de Código Arbitrário (ACE) podem ocorrer simplesmente visualizando ou abrindo um documento malicioso do Microsoft Word. Curiosamente, pesquisador de segurança Crazyman Army disse à equipe de segurança da Microsoft sobre o dia zero em abril, mas a empresa simplesmente demitido o relatório enviado, dizendo que "não é um problema relacionado à segurança".

TA413 CN APT avistou a ITW explorando o #Folina #0Day usando URLs para entregar arquivos Zip que contêm documentos do Word que usam a técnica. As campanhas imitam o "Mesa de Empoderamento das Mulheres" da Administração Central Tibetana e usam o domínio tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Insight de Ameaças (@threatinsight) 31 de maio de 2022

Em um artigo do Denunciar da empresa de pesquisa de segurança Proofpoint, um grupo ligado ao governo chinês chamado Chinese TA413 visava usuários tibetanos enviando-lhes documentos maliciosos. “O TA413 CN APT detectou a ITW explorando o #Follina #0Day usando URLs para entregar arquivos Zip que contêm documentos do Word que usam a técnica”, escreve a Proofpoint em um tweet. “As campanhas se passam pelo 'Women Empowerments Desk' da Administração Central Tibetana e usam o domínio tibet-gov.web[.]app.”

Aparentemente, o referido grupo não é o único a explorar a vulnerabilidade. Outros maus atores independentes e relacionados ao Estado têm se aproveitado disso há algum tempo, incluindo um grupo que disfarçou um documento como um memorando de aumento salarial para enganar agências governamentais dos EUA e da UE. Outros incluem o Afiliado TA570 Qbot que entrega malware Qbot e os primeiros ataques que foram vistos usando ameaças de sextorsão e iscas como Convite para entrevista na Rádio Sputnik. 

Uma vez abertos, os documentos infectados enviados permitirão que os hackers controlem o MDST e executem comandos, levando a instalações de programas não permitidas e acesso a dados de computador que os hackers podem visualizar, excluir ou alterar. Os atores também podem criar novas contas de usuário por meio do computador do usuário.