Çin devletinin çıkarlarıyla uyumlu gelişmiş bir kalıcı tehdit (APT) aktörünün, etkilenen sistemlerde kod yürütülmesini sağlamak için Microsoft Office’teki yeni sıfır gün kusurunu silahlandırdığı gözlemlendi.
“TA413 CN APT tespit edildi [in-the-wild] Tekniği kullanan Word Belgelerini içeren ZIP arşivlerini teslim etmek için URL’leri kullanarak Follina sıfır gününden yararlanma”, kurumsal güvenlik firması Proofpoint söz konusu bir tweet’te.
“Kampanyalar, Merkezi Tibet Yönetiminin ‘Kadınları Güçlendirme Masası’nın kimliğine bürünüyor ve tibet-gov.web alan adını kullanıyor.[.]uygulama.”
TA413 en çok Tibet diasporasına aşağıdaki gibi implantlar sağlamayı amaçlayan kampanyalarıyla tanınır. sürgün RAT ve mezar yanı sıra FriarFox adlı sahte bir Firefox tarayıcı uzantısı.
Follina olarak adlandırılan ve CVE-2022-30190 (CVSS puanı: 7.8) olarak izlenen yüksek önemdeki güvenlik açığı, rastgele kod yürütmek için “ms-msdt:” protokol URI şemasını kötüye kullanan bir uzaktan kod yürütme durumuyla ilgilidir.
Spesifik olarak, saldırı, tehdit aktörlerinin atlatmasını mümkün kılar. Korumalı Görünüm Belgeyi yalnızca Zengin Metin Biçimi (RTF) dosyasına değiştirerek şüpheli dosyalar için koruma sağlar, böylece belgeyi Önizleme Bölmesi Windows Dosya Gezgini’nde.
Hata geçen hafta geniş çapta dikkat çekerken, kanıtlar bir aydan uzun bir süre önce 12 Nisan 2022’de Microsoft’a ifşa edildiğinde Rus kullanıcılarını hedef alan gerçek dünyadaki saldırılarda tanı aracı kusurunun aktif olarak istismar edildiğini gösteriyor.
Ancak şirket, bunu bir güvenlik sorunu olarak görmedi ve MSDT yardımcı programının bir güvenlik sorunu gerektirdiğini öne sürerek güvenlik açığı bildirim raporunu kapattı. geçiş anahtarı yükleri yürütmeden önce bir destek teknisyeni tarafından sağlanır.
Güvenlik açığı, şu anda desteklenen tüm Windows sürümlerinde bulunmaktadır ve Office 2013’ten Office 21 ve Office Professional Plus sürümlerine kadar Microsoft Office sürümleri aracılığıyla kullanılabilir.
Malwarebytes’ten Jerome Segura, “Bu zarif saldırı, Microsoft Office’in uzak şablon özelliğinden ve kötü amaçlı kod yürütmek için ms-msdt protokolünden yararlanarak güvenlik ürünlerini atlamak ve radarın altında uçmak için tasarlandı,” dedi Malwarebytes’ten Jerome Segura kayıt edilmiş.
Bu noktada resmi bir yama olmamasına rağmen, Microsoft, saldırı vektörünü önlemek için MSDT URL protokolünün devre dışı bırakılmasını tavsiye etti. Ek olarak, olmuştur tavsiye Dosya Gezgini’nde Önizleme Bölmesini kapatmak için
Immersive Labs’tan Nikolas Cemerikic, “‘Follina’yı öne çıkaran şey, bu istismarın Office makrolarından yararlanmaması ve bu nedenle makroların tamamen devre dışı bırakıldığı ortamlarda bile çalışmasıdır.” Dedi.
“İstismarın etkili olması için gereken tek şey, bir kullanıcının Word belgesini açıp görüntülemesi veya Windows Gezgini Önizleme Bölmesi’ni kullanarak belgenin bir önizlemesini görüntülemesidir. İkincisi, Word’ün tam olarak başlatılmasını gerektirmediğinden, bu etkili bir şekilde sıfır tıklama saldırısı olur.”
