هکرهای تحت حمایت چین از یک آسیبپذیری روز صفر مایکروسافت آفیس به نام «Follina» برای اجرای کدهای مخرب از راه دور در سیستمهای ویندوز استفاده میکنند.
این آسیبپذیری با شدت بالا – که با نام CVE-2022-30190 ردیابی میشود – در حملات برای اجرای دستورات مخرب PowerShell با استفاده از ابزار تشخیصی مایکروسافت (MSDT) هنگام باز کردن یا پیشنمایش اسناد آفیس ساختهشده ویژه استفاده میشود. این نقص که بر 41 محصول مایکروسافت از جمله ویندوز 11 و آفیس 365 تأثیر می گذارد، بدون امتیاز اجرا می شود، کشف Windows Defender را دور می زند و برای اجرای باینری ها یا اسکریپت ها نیازی به فعال سازی ماکرو ندارد.
Zero Day همچنین میتواند ویژگی Protected View مایکروسافت را دور بزند، ابزار آفیس که در برابر فایلها و اسناد مخرب احتمالی هشدار میدهد. محققان Huntress هشدار داده اند که تبدیل سند به یک فایل با فرمت متن غنی (RTF) ممکن است به مهاجمان اجازه دهد تا این هشدار را دور بزنند و همچنین اجازه می دهد تا با پیش نمایش مکان نما ماوس روی یک فایل دانلود شده که نیازی به کلیک ندارد، سوء استفاده فعال شود.
مایکروسافت هشدار داده است که این نقص میتواند به تهدیدها اجازه دهد برنامهها را نصب کنند، دادهها را حذف کنند و حسابهای جدیدی را در زمینههای مجاز حقوق کاربر ایجاد کنند.
محققان امنیت سایبری هکرهایی را مشاهده کردهاند که از این نقص برای هدف قرار دادن مصرفکنندگان روسی و بلاروسی از آوریل استفاده میکنند، و شرکت امنیتی Enterprise Proofpoint این هفته گفت که یک گروه هکری تحت حمایت دولت چین از Zero Day در حملات به جامعه بینالمللی تبت استفاده میکند.
«TA413 CN APT خالدار شد [in-the-wild] با استفاده از URL های روز صفر فولینا برای ارائه آرشیوهای ZIP حاوی اسناد Word که از تکنیک “Proofpoint” استفاده می کنند. گفت در یک توییت.” این کمپین ها برای “دفتر توانمندسازی زنان” اداره مرکزی تبت ارائه شده اند و از دامنه tibet-gov.web استفاده می کنند.[.]کاربرد. “
Proofpoint به TechCrunch گفت که قبلاً تهدید TA413 را مشاهده کرده است – که با نام های LuckyCat و Earth Berberoka نیز ردیابی می شود – سازمان های تبتی را با استفاده از برنامه های افزودنی مرورگر مخرب و کمپین های جاسوسی مرتبط با COVID-19 هدف قرار داده است.
روز صفر فولینا ابتدا در 12 آوریل به مایکروسافت اعلام شد، پس از اینکه اسناد Word – که وانمود میکردند متعلق به خبرگزاری اسپوتنیک روسیه است که مصاحبههای رادیویی را با گیرندگان ارائه میدهد – از این نقص در طبیعت سوء استفاده میکنند. با این حال Shadow Chaser Group’s مرد دیوانهمحققی که برای اولین بار روز صفر را گزارش کرد، گفت که مایکروسافت در ابتدا این نقص را به عنوان علامت گذاری کرد این یک “مسئله امنیتی” نیست. غول فناوری بعداً به محقق اطلاع داد که “مشکل برطرف شده است”، اما به نظر نمی رسد یک وصله در دسترس باشد.
TechCrunch از مایکروسافت پرسید که این پچ چه زمانی منتشر می شود، اما این شرکت پاسخی نداد. با این حال، این شرکت دستورالعملهای جدیدی صادر کرده و به مدیران توصیه میکند که میتوانند با استفاده از CVE-2022-30190 با غیرفعال کردن پروتکل URL MSDT، همراه با صفحه پیشنمایش در Windows Explorer، حملات را مسدود کنند.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز سه شنبه سیگنالی صادر کرد و از کاربران و مدیران خواست تا دستورالعمل های مایکروسافت را بررسی کنند و راه حل های لازم را اجرا کنند.