منو سایت

هکرهای تحت حمایت چین از روز صفر جبران ناپذیر مایکروسافت سوء استفاده می کنند

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

هکرهای تحت حمایت چین از یک آسیب‌پذیری روز صفر مایکروسافت آفیس به نام «Follina» برای اجرای کدهای مخرب از راه دور در سیستم‌های ویندوز استفاده می‌کنند.

این آسیب‌پذیری با شدت بالا – که با نام CVE-2022-30190 ردیابی می‌شود – در حملات برای اجرای دستورات مخرب PowerShell با استفاده از ابزار تشخیصی مایکروسافت (MSDT) هنگام باز کردن یا پیش‌نمایش اسناد آفیس ساخته‌شده ویژه استفاده می‌شود. این نقص که بر 41 محصول مایکروسافت از جمله ویندوز 11 و آفیس 365 تأثیر می گذارد، بدون امتیاز اجرا می شود، کشف Windows Defender را دور می زند و برای اجرای باینری ها یا اسکریپت ها نیازی به فعال سازی ماکرو ندارد.

Zero Day همچنین می‌تواند ویژگی Protected View مایکروسافت را دور بزند، ابزار آفیس که در برابر فایل‌ها و اسناد مخرب احتمالی هشدار می‌دهد. محققان Huntress هشدار داده اند که تبدیل سند به یک فایل با فرمت متن غنی (RTF) ممکن است به مهاجمان اجازه دهد تا این هشدار را دور بزنند و همچنین اجازه می دهد تا با پیش نمایش مکان نما ماوس روی یک فایل دانلود شده که نیازی به کلیک ندارد، سوء استفاده فعال شود.

مایکروسافت هشدار داده است که این نقص می‌تواند به تهدیدها اجازه دهد برنامه‌ها را نصب کنند، داده‌ها را حذف کنند و حساب‌های جدیدی را در زمینه‌های مجاز حقوق کاربر ایجاد کنند.

محققان امنیت سایبری هکرهایی را مشاهده کرده‌اند که از این نقص برای هدف قرار دادن مصرف‌کنندگان روسی و بلاروسی از آوریل استفاده می‌کنند، و شرکت امنیتی Enterprise Proofpoint این هفته گفت که یک گروه هکری تحت حمایت دولت چین از Zero Day در حملات به جامعه بین‌المللی تبت استفاده می‌کند.

«TA413 CN APT خال‌دار شد [in-the-wild] با استفاده از URL های روز صفر فولینا برای ارائه آرشیوهای ZIP حاوی اسناد Word که از تکنیک “Proofpoint” استفاده می کنند. گفت در یک توییت.” این کمپین ها برای “دفتر توانمندسازی زنان” اداره مرکزی تبت ارائه شده اند و از دامنه tibet-gov.web استفاده می کنند.[.]کاربرد. “

Proofpoint به TechCrunch گفت که قبلاً تهدید TA413 را مشاهده کرده است – که با نام های LuckyCat و Earth Berberoka نیز ردیابی می شود – سازمان های تبتی را با استفاده از برنامه های افزودنی مرورگر مخرب و کمپین های جاسوسی مرتبط با COVID-19 هدف قرار داده است.

روز صفر فولینا ابتدا در 12 آوریل به مایکروسافت اعلام شد، پس از اینکه اسناد Word – که وانمود می‌کردند متعلق به خبرگزاری اسپوتنیک روسیه است که مصاحبه‌های رادیویی را با گیرندگان ارائه می‌دهد – از این نقص در طبیعت سوء استفاده می‌کنند. با این حال Shadow Chaser Group’s مرد دیوانهمحققی که برای اولین بار روز صفر را گزارش کرد، گفت که مایکروسافت در ابتدا این نقص را به عنوان علامت گذاری کرد این یک “مسئله امنیتی” نیست. غول فناوری بعداً به محقق اطلاع داد که “مشکل برطرف شده است”، اما به نظر نمی رسد یک وصله در دسترس باشد.

TechCrunch از مایکروسافت پرسید که این پچ چه زمانی منتشر می شود، اما این شرکت پاسخی نداد. با این حال، این شرکت دستورالعمل‌های جدیدی صادر کرده و به مدیران توصیه می‌کند که می‌توانند با استفاده از CVE-2022-30190 با غیرفعال کردن پروتکل URL MSDT، همراه با صفحه پیش‌نمایش در Windows Explorer، حملات را مسدود کنند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز سه شنبه سیگنالی صادر کرد و از کاربران و مدیران خواست تا دستورالعمل های مایکروسافت را بررسی کنند و راه حل های لازم را اجرا کنند.