Uzmanlar, Microsoft Office “Follina” sıfır gün güvenlik açığının ilk resmi uygulayıcılarına ve ilk kurbanlarına sahip olabileceğini açıkladı.
Proofpoint’ten siber güvenlik araştırmacıları, TA413 olarak bilinen Çin devlet destekli bir tehdit aktörünün bu açığı kullanarak uluslararası Tibet topluluğunu hedef aldığını keşfetti.
Proofpoint, “TA413 CN APT, ITW’nin, tekniği kullanan Word Belgelerini içeren Zip Arşivlerini teslim etmek için URL’leri kullanarak Follina 0Day’den yararlandığını tespit etti,” dedi.
Bilgi hırsızlarını yükleme
“Kampanyalar, Merkezi Tibet Yönetiminin ‘Kadınları Güçlendirme Masası’nın kimliğine bürünüyor ve tibet-gov.web alan adını kullanıyor.[.]uygulama.”
Mayıs 2022’de ortaya çıkan Follina, Windows’ta farklı sorun giderici paketleri çalıştırmak için tasarlanmış msdt.exe adlı bir Windows yardımcı programından yararlanıyor. Çalıştırmak için saldırganlar, önizleme modundayken bile MSDT çalıştırma koduna sahip olabilen silahlı bir .docx dosyası gönderirdi.
Saldırganlar bu yardımcı programı kötüye kullanarak hedef uç noktayı söyleyebilirler. (yeni sekmede açılır)uzak bir URL’den bir HTML dosyasını çağırmak için. Saldırganlar xml biçimlerini seçti[.]Araştırmacılar, muhtemelen çoğu Word belgesinde kullanılan benzer görünümlü, meşru olsa da openxmlformats.org alanının arkasına saklanmaya çalışıyor.
MalwareHunterTeam ayrıca http://coolrat aracılığıyla bilgi hırsızları yükleyen Çince dosya adlarına sahip .docx dosyaları buldu[.]xyz. HTML dosyası, bir yükü indiren ve yürüten bir komut dosyası olan gerçek amacını gizleyen çok sayıda “önemsiz” içerir. CVE-2022-30190 olarak izlenen kusur, güvenlik güncellemelerini almaya devam eden tüm Windows istemci ve sunucu platformlarını etkiliyor.
Bulguların yayınlanmasının ardından Microsoft, “MSDT, Word gibi bir çağrı uygulamasından URL protokolü kullanılarak çağrıldığında” uzaktan kod yürütme güvenlik açığı bulunduğunu söyleyerek tehdidi kabul etti.
“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturabilir.”
Bazı virüsten koruma yazılımları zaten bu saldırıyı tespit etme yeteneğine sahip olsa da, Micorosft ayrıca MSDT URL protokolünün devre dışı bırakılmasını içeren bir azaltma yöntemi yayınladı. Bu, sorun gidericilerin bağlantı olarak başlatılmasını önleyecektir, ancak yine de Yardım Al uygulaması ve sistem ayarlarından erişilebilir. Bu geçici çözümü etkinleştirmek için yöneticilerin aşağıdakileri yapması gerekir:
Komut İstemini Yönetici Olarak Çalıştırın.
Kayıt defteri anahtarını yedeklemek için “reg export HKEY_CLASSES_ROOTms-msdt filename” komutunu çalıştırın.
“reg delete HKEY_CLASSES_ROOTms-msdt /f” komutunu çalıştırın.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
