Нові оновлення безпеки від Microsoft усувають проблему уразливості нульового дня Windows Follina

За оцінками Комп'ютерний комп'ютер, у Windows є постійна вразливість, яку Microsoft нещодавно виправила. 30 травня Microsoft запропонувала деякі обхідні шляхи для вирішення проблеми. Тим не менш, оновлення Windows 10 KB5014699 і Windows 11 KB5014697 автоматично вирішують усе для користувачів, що робить їх надзвичайно актуальними для всіх користувачів.

«Оновлення для цієї вразливості міститься в сукупних оновленнях Windows за червень 2022 року», — каже Microsoft. «Microsoft настійно рекомендує клієнтам встановлювати оновлення, щоб бути повністю захищеними від уразливості. Клієнтам, чиї системи налаштовані на автоматичне оновлення, не потрібно робити жодних подальших дій».

Bleeping Computer каже, що недолік безпеки під назвою Follina, який відстежується як CVE-2022-30190, охоплює версії Windows, які все ще отримують оновлення безпеки, включаючи Windows 7+ і Server 2008+. Його використовують хакери, щоб отримати контроль над комп’ютерами користувачів, виконуючи шкідливі команди PowerShell через інструмент діагностики підтримки Microsoft (MSDT), як описано незалежною дослідницькою групою з кібербезпеки. nao_sec. Це означає, що атаки довільного виконання коду (ACE) можуть відбуватися шляхом простого попереднього перегляду або відкриття шкідливого документа Microsoft Word. Цікаво, дослідник безпеки CrazymanArmy розповіла команді безпеки Microsoft про нульовий день у квітні, але компанія просто звільнений у звіті надано, що «це не пов’язане з безпекою».

TA413 CN APT помітив ITW, який використовує #Фолліна #0 День використання URL-адрес для доставки Zip-архівів, які містять документи Word, які використовують цю техніку. Кампанії видають себе за "Службу розширення прав і можливостей жінок" Центральної тибетської адміністрації та використовують домен tibet-gov.web[.]app pic.twitter.com/4FA9Vzoqu4

— Уявлення про загрози (@threatinsight) Травень 31, 2022

В звітом з дослідницької компанії в галузі безпеки Proofpoint, група, пов’язана з китайським урядом під назвою китайський TA413, націлена на тибетських користувачів, надсилаючи їм шкідливі документи. «TA413 CN APT помітив ITW, який використовує #Follina #0Day, використовуючи URL-адреси для доставки Zip-архівів, які містять документи Word, які використовують цю техніку», – пише Proofpoint у твіті. «Кампанії видають себе за «Службу розширення прав і можливостей жінок» Центральної тибетської адміністрації та використовують додаток для домену tibet-gov.web[.]».

Очевидно, ця група не єдина, хто використовує вразливість. Інші пов’язані з державою та незалежні погані суб’єкти вже досить довго користуються цим, включаючи групу, яка замаскувала документ під записку про підвищення зарплати, щоб фішувати урядові установи США та ЄС. Інші включають Філія TA570 Qbot яка доставляє зловмисне програмне забезпечення Qbot і перші атаки, які були застосовані погрози сексуального вимагання і приманки як Запрошення на інтерв'ю Sputnik Radio. 

Після відкриття надіслані заражені документи дозволять хакерам контролювати MDST і виконувати команди, що призведе до недозволених установок програм і доступу до комп’ютерних даних, які хакери можуть переглядати, видаляти або змінювати. Актори також можуть створювати нові облікові записи користувачів за допомогою комп’ютера користувача.