Этот опасный Microsoft Office нулевого дня теперь эксплуатируется в дикой природе

Этот опасный Microsoft Office нулевого дня теперь эксплуатируется в дикой природе

1 июня 2022 г.

Microsoft Office "Follina" нулевой У уязвимости дня могут быть первые официальные пользователи и первые жертвы, выявили эксперты.

Исследователи кибербезопасности из Proofpoint обнаружили, что спонсируемый государством китайский злоумышленник, известный как TA413, использует уязвимость для нападения на международное тибетское сообщество.

«TA413 CN APT обнаружил, что ITW использует Follina 0Day, используя URL-адреса для доставки Zip-архивов, содержащих документы Word, использующие технику», — отмечает Proofpoint.

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США/10,99 фунта стерлингов.

Установка инфостилеров

«Кампании выдают себя за «Службу расширения прав и возможностей женщин» Центральной тибетской администрации и используют домен tibet-gov.web[.]app».

Обнаруженный ранее в мае 2022 года, Follina использует утилиту Windows под названием msdt.exe, предназначенную для запуска различных пакетов устранения неполадок в Windows. Чтобы запустить его, злоумышленники отправляли вооруженный файл .docx, способный запускать код MSDT даже в режиме предварительного просмотра.

Злоупотребляя этой утилитой, злоумышленники могут сообщить целевой конечной точке вызвать HTML-файл с удаленного URL-адреса. Исследователи предполагают, что злоумышленники выбрали домен xmlformats[.]com, вероятно, пытаясь спрятаться за похожим, хотя и законным, доменом openxmlformats.org, используемым в большинстве документов Word.

MalwareHunterTeam также обнаружил файлы .docx с китайскими именами файлов, устанавливающих инфостилеры через http://coolrat[.]xyz. HTML-файл содержит много «мусора», который скрывает его истинное назначение — скрипт, который загружает и выполняет полезную нагрузку. Уязвимость, отслеживаемая как CVE-2022-30190, затрагивает все клиентские и серверные платформы Windows, которые все еще получают обновления безопасности.

После публикации результатов Microsoft признала наличие угрозы, заявив, что существует уязвимость удаленного выполнения кода, «когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Word».

Подробнее

> Вы наконец-то сможете управлять своей учетной записью Microsoft Office в Windows 11, но есть одна загвоздка

> Новое неприятное вредоносное ПО для кражи информации попадает в почтовые ящики

> Вот еще одна веская причина не использовать пиратское программное обеспечение

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя».

Хотя некоторые антивирусные программы уже способны обнаруживать эту атаку, Micorosft также выпустила метод смягчения, который включает в себя отключение протокола MSDT URL. Это предотвратит запуск средств устранения неполадок в виде ссылок, но к ним по-прежнему можно получить доступ с помощью приложения «Помощь» и в настройках системы. Чтобы активировать этот обходной путь, администраторам необходимо сделать следующее:

Запустите командную строку от имени администратора.

Чтобы создать резервную копию ключа реестра, выполните команду «reg export HKEY_CLASSES_ROOT\ms-msdt filename».

Выполните команду «reg delete HKEY_CLASSES_ROOT\ms-msdt /f».

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE