Microsoft'un yeni güvenlik güncellemeleri, Windows sıfır gün güvenlik açığı Follina sorununu çözüyor

Göre Bleeping Bilgisayarı, Microsoft'un yakın zamanda yamaladığı Windows'ta devam eden bir güvenlik açığı var. 30 Mayıs'ta Microsoft, sorunu çözmek için bazı geçici çözümler önerdi. Bununla birlikte, Windows 10 KB5014699 ve Windows 11 KB5014697 güncellemeleri, kullanıcılar için her şeyi otomatik olarak çözecek ve bu güncellemeleri tüm kullanıcılar için son derece acil hale getirecektir.

Microsoft, "Bu güvenlik açığının güncelleştirmesi Haziran 2022 toplu Windows Güncelleştirmeleri'ndedir" diyor. “Microsoft, müşterilerin güvenlik açığından tam olarak korunmak için güncellemeleri yüklemelerini şiddetle tavsiye ediyor. Sistemleri otomatik güncellemeleri alacak şekilde yapılandırılan müşterilerin başka bir işlem yapmasına gerek yoktur.”

Bleeping Computer, CVE-2022-30190 olarak izlenen Follina adlı güvenlik açığının, Windows 7+ ve Server 2008+ dahil olmak üzere hala güvenlik güncellemeleri alan Windows sürümlerini kapsadığını söylüyor. Bağımsız siber güvenlik araştırma ekibi tarafından açıklandığı gibi, bilgisayar korsanları tarafından Microsoft Destek Tanılama Aracı (MSDT) aracılığıyla kötü amaçlı PowerShell komutları yürüterek bir kullanıcının bilgisayarlarının kontrolünü ele geçirmek için kullanılıyor. nao_sn. Bu, Arbitrary Code Execution (ACE) saldırılarının, kötü amaçlı bir Microsoft Word belgesini önizleyerek veya açarak gerçekleşebileceği anlamına gelir. İlginç bir şekilde, güvenlik araştırmacısı Çılgın AdamOrdu Microsoft'un güvenlik ekibine Nisan ayındaki sıfır günü anlattı, ancak şirket sadece işten Raporda “güvenlikle ilgili bir konu değil” ifadesi yer aldı.

TA413 CN APT, ITW'nin #Follina #0Gün tekniği kullanan Word Belgelerini içeren Zip Arşivlerini teslim etmek için URL'leri kullanma. Kampanyalar, Merkezi Tibet Yönetimi'nin "Kadınları Güçlendirme Masası"nın kimliğine bürünüyor ve tibet-gov.web[.]app alan adını kullanıyor. pic.twitter.com/4FA9Vzoqu4

— Tehdit İçgörüsü (@tehdit İçgörüsü) Mayıs 31, 2022

İçinde rapor Güvenlik araştırma şirketi Proofpoint'ten Çin hükümetine bağlı bir grup olan Çin TA413 adlı bir grup, Tibetli kullanıcıları kötü niyetli belgeler göndererek hedef aldı. Proofpoint bir tweet'te, "TA413 CN APT, ITW'nin, tekniği kullanan Word Belgelerini içeren Zip Arşivlerini sunmak için URL'leri kullanarak #Follina #0Day'den yararlandığını tespit etti" diye yazıyor. "Kampanyalar, Merkezi Tibet Yönetimi'nin 'Kadınları Güçlendirme Masası'nın kimliğine bürünüyor ve tibet-gov.web[.]app alan adını kullanıyor."

Görünüşe göre, güvenlik açığından yararlanan tek grup söz konusu grup değil. ABD ve AB devlet dairelerini dolandırmak için bir belgeyi maaş artışı notu olarak gizleyen bir grup da dahil olmak üzere, devletle ilgili ve bağımsız diğer kötü aktörler uzun süredir bundan faydalanıyor. Diğerleri şunları içerir: TA570 Qbot iştiraki Qbot kötü amaçlı yazılımını ve kullanılarak görülen ilk saldırıları sunan şantaj tehditleri ve yemler gibi Sputnik Radyo röportaj daveti. 

Bir kez açıldığında, gönderilen virüslü belgeler bilgisayar korsanlarının MDST'yi kontrol etmesine ve komutları yürütmesine izin vererek izinsiz program kurulumlarına ve bilgisayar korsanlarının görüntüleyebileceği, silebilecek veya değiştirebileceği bilgisayar verilerine erişime yol açacaktır. Aktörler ayrıca kullanıcının bilgisayarı aracılığıyla yeni kullanıcı hesapları oluşturabilir.