Noile actualizări de securitate ale Microsoft rezolvă problema Follina cu vulnerabilitatea de zi zero a Windows

În conformitate cu Bleeping Computer, există o vulnerabilitate în curs de desfășurare în Windows pe care Microsoft a corectat-o ​​recent. Pe 30 mai, Microsoft a sugerat câteva soluții pentru a rezolva problema. Cu toate acestea, actualizările Windows 10 KB5014699 și Windows 11 KB5014697 vor rezolva automat totul pentru utilizatori, făcându-le extrem de urgente pentru toți utilizatorii.

„Actualizarea pentru această vulnerabilitate este în Actualizările Windows cumulate din iunie 2022”, spune Microsoft. „Microsoft recomandă insistent clienților să instaleze actualizările pentru a fi protejați complet de vulnerabilitate. Clienții ale căror sisteme sunt configurate să primească actualizări automate nu trebuie să ia nicio măsură suplimentară.”

Bleeping Computer spune că defectul de securitate numit Follina, urmărit ca CVE-2022-30190, acoperă versiuni de Windows care încă primesc actualizări de securitate, inclusiv Windows 7+ și Server 2008+. Este exploatat de hackeri pentru a obține controlul asupra computerelor unui utilizator prin executarea de comenzi PowerShell rău intenționate prin Microsoft Support Diagnostic Tool (MSDT), așa cum este descris de echipa independentă de cercetare în domeniul securității cibernetice nao_sec. Aceasta înseamnă că atacurile de executare a codului arbitrar (ACE) pot avea loc prin simpla previzualizare sau deschidere a unui document Microsoft Word rău intenționat. Interesant, cercetător de securitate CrazymanArmy a spus echipei de securitate a Microsoft despre ziua zero din aprilie, dar compania pur și simplu a respins raportul prezentat, spunând că „nu este o problemă legată de securitate”.

TA413 CN APT a văzut ITW exploatând #Follina #0Ziu folosind URL-uri pentru a livra arhive Zip care conțin documente Word care utilizează tehnica. Campaniile uzurpă identitatea „Biroul de împuternicire a femeilor” al Administrației Centrale Tibetane și utilizează domeniul tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) 31 Mai, 2022

Într-o raportează de la compania de cercetare în domeniul securității Proofpoint, un grup legat de guvernul chinez numit Chinese TA413 a vizat utilizatorii tibetani trimițându-le documente rău intenționate. „TA413 CN APT a observat că ITW exploatează #Follina #0Day folosind URL-uri pentru a livra arhive Zip care conțin documente Word care utilizează tehnica”, scrie Proofpoint într-un tweet. „Campaniile uzurpă identitatea „Biroul de împuternicire a femeilor” al Administrației Centrale Tibetane și folosesc domeniul tibet-gov.web[.]app.”

Aparent, grupul menționat nu este singurul care exploatează vulnerabilitatea. Alți actori răi legați de stat și independenți au profitat de asta de ceva timp, inclusiv un grup care a deghizat un document ca o notă de creștere a salariului pentru a phishing agențiile guvernamentale din SUA și UE. Alții includ Afiliat TA570 Qbot care furnizează malware Qbot și primele atacuri care au fost văzute folosind amenințări cu sextorsionare si momeli ca Invitație la interviu Sputnik Radio. 

Odată deschise, documentele infectate trimise vor permite hackerilor să controleze MDST și să execute comenzi, ceea ce duce la instalări nepermise de programe și acces la datele computerului pe care hackerii le pot vizualiza, șterge sau modifica. Actorii pot crea, de asemenea, noi conturi de utilizator prin computerul utilizatorului.