Microsofts nya säkerhetsuppdateringar löser Windows noll-day sårbarhet Follina-problem

Enligt Bleeping Computer, det finns en pågående sårbarhet i Windows som Microsoft nyligen har korrigerat. Den 30 maj föreslog Microsoft några lösningar för att lösa problemet. Ändå kommer uppdateringarna för Windows 10 KB5014699 och Windows 11 KB5014697 automatiskt att lösa allt för användarna, vilket gör dem mycket brådskande för alla användare.

"Uppdateringen för denna sårbarhet finns i juni 2022 kumulativa Windows-uppdateringar," säger Microsoft. "Microsoft rekommenderar starkt att kunder installerar uppdateringarna för att vara helt skyddade från sårbarheten. Kunder vars system är konfigurerade för att ta emot automatiska uppdateringar behöver inte vidta några ytterligare åtgärder."

Bleeping Computer säger att säkerhetsbristen som kallas Follina spåras som CVE-2022-30190 täcker versioner av Windows som fortfarande får säkerhetsuppdateringar, inklusive Windows 7+ och Server 2008+. Det utnyttjas av hackare för att få kontroll över en användares datorer genom att utföra skadliga PowerShell-kommandon via Microsoft Support Diagnostic Tool (MSDT), som beskrivs av det oberoende forskningsteamet för cybersäkerhet. nao_sek. Detta innebär att ACE-attackerna (Arbitrary Code Execution) kan inträffa genom att helt enkelt förhandsgranska eller öppna ett skadligt Microsoft Word-dokument. Intressant nog, säkerhetsforskare Crazyman Army berättade för Microsofts säkerhetsteam om nolldagen i april, men företaget helt enkelt avfärdas rapporten lämnade in och sa "det är inte en säkerhetsrelaterad fråga."

TA413 CN APT såg ITW utnyttja #Follina #0 Dag använda webbadresser för att leverera zip-arkiv som innehåller Word-dokument som använder tekniken. Kampanjer utger sig för att vara "Women Empowerments Desk" av den centrala tibetanska administrationen och använder domänen tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Threat Insight (@threatinsight) Maj 31, 2022

I en rapport från säkerhetsforskningsföretaget Proofpoint, en grupp kopplad till den kinesiska regeringen vid namn kinesiska TA413 riktade sig mot tibetanska användare genom att skicka skadliga dokument till dem. "TA413 CN APT såg ITW utnyttja #Follina #0Day med hjälp av webbadresser för att leverera zip-arkiv som innehåller Word-dokument som använder tekniken", skriver Proofpoint i en tweet. "Kampanjer utger sig för att vara 'Women Empowerments Desk' av den centrala tibetanska administrationen och använder domänen tibet-gov.web[.]app."

Uppenbarligen är den nämnda gruppen inte den enda som utnyttjar sårbarheten. Andra statsrelaterade och oberoende dåliga aktörer har utnyttjat det ganska länge nu, inklusive en grupp som maskerade ett dokument som ett löneförhöjningsmemo för att nätfiska amerikanska och EU-myndigheter. Andra inkluderar TA570 Qbot affiliate som levererar Qbot malware och de första attackerna som sågs använda hot om utpressning och beten som Intervjuinbjudan till Sputnik Radio. 

När de väl har öppnats kommer de infekterade dokumenten som skickas att tillåta hackare att kontrollera MDST och utföra kommandon, vilket leder till otillåtna programinstallationer och tillgång till datordata som hackare kan se, ta bort eller ändra. Skådespelare kan också skapa nya användarkonton via användarens dator.