Bản cập nhật bảo mật mới của Microsoft giải quyết vấn đề Follina lỗ hổng zero-day của Windows

Theo Máy tính ngủ đêm, có một lỗ hổng đang diễn ra trong Windows mà Microsoft đã vá gần đây. Vào ngày 30 tháng 10, Microsoft đã đề xuất một số giải pháp thay thế để giải quyết vấn đề. Tuy nhiên, các bản cập nhật Windows 5014699 KB11 và Windows 5014697 KBXNUMX sẽ tự động giải quyết mọi thứ cho người dùng, khiến chúng rất khẩn cấp đối với tất cả người dùng.

“Bản cập nhật cho lỗ hổng này nằm trong Bản cập nhật Windows tích lũy tháng 2022 năm XNUMX,” Microsoft cho biết. “Microsoft thực sự khuyến nghị khách hàng cài đặt các bản cập nhật để được bảo vệ hoàn toàn khỏi lỗ hổng bảo mật. Những khách hàng có hệ thống được định cấu hình để nhận các bản cập nhật tự động không cần phải thực hiện thêm bất kỳ hành động nào ”.

Bleeping Computer cho biết lỗ hổng bảo mật được Follina theo dõi là CVE-2022-30190 bao gồm các phiên bản Windows vẫn đang nhận các bản cập nhật bảo mật, bao gồm Windows 7+ và Server 2008+. Nó đang bị tin tặc khai thác để giành quyền kiểm soát máy tính của người dùng bằng cách thực hiện các lệnh PowerShell độc hại thông qua Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT), như được mô tả bởi nhóm nghiên cứu an ninh mạng độc lập nao_sec. Điều này có nghĩa là các cuộc tấn công Thực thi Mã tùy ý (ACE) có thể xảy ra chỉ bằng cách xem trước hoặc mở một tài liệu Microsoft Word độc hại. Thật thú vị, nhà nghiên cứu bảo mật CrazymanQuân đội đã nói với nhóm bảo mật của Microsoft về ngày XNUMX tháng XNUMX, nhưng công ty chỉ đơn giản là Miễn nhiệm báo cáo được gửi, nói rằng "đó không phải là vấn đề liên quan đến bảo mật."

TA413 CN APT phát hiện ITW khai thác #Follina #0Day bằng cách sử dụng URL để cung cấp Kho lưu trữ Zip chứa Tài liệu Word sử dụng kỹ thuật này. Các chiến dịch mạo danh "Bàn trao quyền cho phụ nữ" của Chính quyền Trung ương Tây Tạng và sử dụng ứng dụng miền tibet-gov.web [.] pic.twitter.com/4FA9Vzoqu4

- Thông tin chi tiết về mối đe dọa (@threatinsight) 31 Tháng Năm, 2022

Trong một báo cáo từ công ty nghiên cứu bảo mật Proofpoint, một nhóm liên kết với chính phủ Trung Quốc có tên là TA413 Trung Quốc đã nhắm mục tiêu người dùng Tây Tạng bằng cách gửi cho họ các tài liệu độc hại. “TA413 CN APT đã phát hiện ra ITW đang khai thác #Follina # 0Day bằng cách sử dụng các URL để cung cấp Kho lưu trữ Zip chứa Tài liệu Word sử dụng kỹ thuật này,” Proofpoint viết trong một tweet. “Các chiến dịch mạo danh 'Bàn trao quyền cho phụ nữ' của Cơ quan quản lý Trung ương Tây Tạng và sử dụng ứng dụng tên miền tibet-gov.web [.]."

Rõ ràng, nhóm được nói không phải là người duy nhất khai thác lỗ hổng bảo mật. Các phần tử xấu độc lập và liên quan đến nhà nước khác đã lợi dụng nó từ khá lâu, bao gồm cả một nhóm đã ngụy trang tài liệu dưới dạng thư báo tăng lương để lừa đảo các cơ quan chính phủ của Hoa Kỳ và EU. Những người khác bao gồm TA570 Chi nhánh Qbot cung cấp phần mềm độc hại Qbot và các cuộc tấn công đầu tiên được nhìn thấy bằng cách sử dụng mối đe dọa phân đoạn và bả như Đài Sputnik mời phỏng vấn. 

Sau khi mở, các tài liệu bị nhiễm được gửi đi sẽ cho phép tin tặc kiểm soát MDST và thực thi các lệnh, dẫn đến việc cài đặt chương trình không được phép và truy cập vào dữ liệu máy tính mà tin tặc có thể xem, xóa hoặc thay đổi. Các diễn viên cũng có thể tạo tài khoản người dùng mới thông qua máy tính của người dùng.