yeni bir sıfır gün güvenlik açığı Microsoft Office’te siber suçlular tarafından dağıtmak için kullanılabilecek kötü amaçlı yazılım ve Windows PC’lerdeki diğer virüsler.
Hata, siber güvenlik uzmanı Kevin Beaumont tarafından keşfedildi ve o zamandan beri “Follina” adı verildi. CVE-2022-30190 (yeni sekmede açılır) Microsoft, bunu bir Microsoft Windows Destek Tanılama Aracı (MSDT) uzaktan kod yürütme güvenlik açığı olarak tanımlar. BleeBilgisayar (yeni sekmede açılır).
Follina özellikle endişe verici çünkü bu sıfır gün güvenlik açığı, hala güvenlik güncellemeleri alan tüm Windows sürümlerini etkiliyor. yakın zamanda Blog yazısı (yeni sekmede açılır)Microsoft Güvenlik Yanıt Merkezi, hata ve Windows 7’yi Windows 11’e kadar çalıştıran sistemlere saldırmak için nasıl kullanılabileceği hakkında daha fazla ayrıntı verdi ve şunları söyledi:
“MSDT, Word gibi bir çağrı uygulamasından URL protokolü kullanılarak çağrıldığında bir uzaktan kod yürütme güvenlik açığı oluşur. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturabilir.”
Silahlı Word belgeleri kullanarak Follina’dan yararlanma
Her yeni sıfır günde olduğu gibi, Follina zaten vahşi doğada kullanılıyor ve Proofpoint’ten güvenlik araştırmacıları, Çin devlet destekli tehdit aktörü TA413’ün güvenlik açığını uluslararası Tibet topluluğunu hedef almak için kullandığını keşfetti.
İçinde cıvıldamak (yeni sekmede açılır), şirketin araştırmacıları, TA413’ün Follina’dan yararlanan silahlı Word belgeleri içeren ZIP dosyalarını teslim etmek için kötü amaçlı URL’ler kullandığını açıkladı. Aynı zamanda, Kötü Amaçlı Yazılım AvcısıTakımı (yeni sekmede açılır) ayrıca şu anda bilgi hırsızlarını yüklemek için kullanılan Çince dosya adlarına sahip Word dosyaları da buldu.
Follina’yı kullanan saldırıların, BleepingComputer’a göre hem şantaj tehditleri hem de Sputnik radyosu ile röportaj yapma davetlerinin yem olarak kullanıldığı bir aydan uzun bir süre önce tespit edildiğini belirtmekte fayda var.
Microsoft’un bir geçici çözümü var ancak resmi olmayan bir yama da var
Şu anki haliyle Microsoft, Follina sıfır gün güvenlik açığını gidermek için henüz herhangi bir güvenlik güncellemesi yayınlamadı. Ancak yazılım devi bir geçici çözüm (yeni sekmede açılır) Bu arada Windows PC’lerin korunmasına yardımcı olmak için.
Çözüm, Windows cihazlarında MSDT URL protokolünün devre dışı bırakılmasını içerir; Komut istemi olarak yönetici süreci başlatmak için. Buradan komutu kullanmanız gerekir. reg dışa aktarma HKEY_CLASSES_ROOTms-msdt ms-msdt.reg komutu çalıştırmadan önce sisteminizin kayıt defteri anahtarını yedeklemek için kayıt silme HKEY_CLASSES_ROOTms-msdt /f.
Bu rotaya gitmeye karar verirseniz, yükseltilmiş bir komut istemi başlatarak ve komutu yürüterek geçici çözümü geri almanız gerekir. reg içe aktarma ms-msdt.reg Microsoft resmi bir yama yayınladıktan sonra.
Yamalardan bahsetmişken, opatch ayrıca Windows 11, Windows 10, Windows 7 ve Windows Server 2008 için ücretsiz ve resmi olmayan mikro yamalar oluşturdu. Resmi olmayan yamaları yüklemenizi önermesek de, risk almak isteyenlerin önce bir yama hesabı (yeni sekmede açılır) opatch ajanını yüklemeden önce. Başlatıldığında, aracı otomatik olarak yamayı indirecek ve Windows PC’nize uygulayacaktır.
Siber suçlular ve hatta devlet destekli bilgisayar korsanları saldırılarında aktif olarak Follina’yı kullandığına göre, Microsoft yakında resmi bir yama yayınlayacak. Bu arada, şirketin geçici çözümü çoğu insanın bilgisayarlarını koruması için yeterli olacaktır.