Çin destekli bilgisayar korsanları, Windows sistemlerinde uzaktan kötü amaçlı kod yürütmek için “Follina” olarak bilinen yamasız bir Microsoft Office sıfırıncı gün güvenlik açığından yararlanıyor.
Yüksek önem düzeyine sahip güvenlik açığı – şu şekilde izlenir: CVE-2022-30190 – özel hazırlanmış Office belgelerini açarken veya önizlerken Microsoft Tanı Aracı (MSDT) aracılığıyla kötü amaçlı PowerShell komutlarını yürütmek için saldırılarda kullanılıyor. Windows 11 ve Office 365 dahil 41 Microsoft ürününü etkileyen kusur, yükseltilmiş ayrıcalıklar olmadan çalışır, Windows Defender algılamasını atlar ve ikili dosyaları veya komut dosyalarını yürütmek için makro kodunun etkinleştirilmesine gerek yoktur.
Sıfır gün, potansiyel olarak kötü amaçlı dosya ve belgelere karşı uyarı veren bir Office aracı olan Microsoft’un Korumalı Görünüm özelliğini de atlatabilir. Avcı araştırmacılar, belgeyi bir Zengin Metin Biçimi (RTF) dosyasına dönüştürmenin, saldırganların bu uyarıyı atlamasına izin verebileceği ve ayrıca herhangi bir tıklama gerektirmeyen indirilmiş bir dosyanın üzerine gelindiğinde bir ön izleme ile istismarın tetiklenebileceği konusunda uyardı.
Microsoft, kusurun, tehdit aktörlerinin programları yüklemesine, verileri silmesine ve kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturmasına olanak tanıyabileceği konusunda uyardı.
Siber güvenlik araştırmacıları, bilgisayar korsanlarının Nisan ayından bu yana Rus ve Belaruslu kullanıcıları hedef almak için kusurdan yararlandığını gözlemledi ve Enterprise güvenlik firması Proofpoint bu hafta, Çin devlet destekli bir bilgisayar korsanlığı grubunun uluslararası Tibet topluluğunu hedef alan saldırılarda sıfır günden yararlandığını söyledi.
“TA413 CN APT tespit edildi [in-the-wild] Tekniği kullanan Word Belgelerini içeren ZIP arşivlerini teslim etmek için URL’leri kullanarak Follina sıfır gününden yararlanma”, Proofpoint söz konusu Kampanyalar, Merkezi Tibet Yönetiminin ‘Kadınları Güçlendirme Masası’nın kimliğine bürünüyor ve tibet-gov.web alan adını kullanıyor.[.]uygulama.”
Proofpoint, TechCrunch’a daha önce “LuckyCat” ve “Earth Berberoka” olarak da izlenen TA413 tehdit aktörünü kötü niyetli tarayıcı uzantıları ve COVID-19 temalı casusluk kampanyaları kullanarak Tibet kuruluşlarını hedeflediğini gözlemlediğini söyledi.
Follina sıfır günü, ilk olarak, alıcılara bir radyo röportajı sunan Rusya’nın Sputnik haber ajansından geldiği iddia edilen Word belgelerinin, vahşi doğada kusuru kötüye kullandığı tespit edildikten sonra, 12 Nisan’da Microsoft’a bildirildi. Ancak, Gölge Avcısı Grubu’nun deli adamSıfır günü ilk kez bildiren araştırmacı, Microsoft’un başlangıçta kusuru şu şekilde etiketlediğini söyledi. “güvenlikle ilgili bir sorun” değil. Teknoloji devi daha sonra araştırmacıya “sorunun çözüldüğünü” bildirdi, ancak bir yama mevcut görünmüyor.
TechCrunch, Microsoft’a bir yamanın ne zaman yayınlanacağını sordu, ancak şirket yanıt vermedi. Ancak şirket yeni yayınladı rehberlik bu, yöneticilere, Windows Gezgini’ndeki Önizleme bölmesiyle birlikte MSDT URL protokolünü devre dışı bırakarak CVE-2022-30190’dan yararlanan saldırıları engelleyebileceklerini önerir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bir uyarı yayınladı Salı günü, kullanıcıları ve yöneticileri Microsoft’un kılavuzunu gözden geçirmeye ve gerekli geçici çözümleri uygulamaya çağırıyor.