Według badania analizy zagrożeń przeprowadzonego przez firmę Proofpoint zajmującą się bezpieczeństwem, hakerzy powiązani z chińskim rządem wykorzystują nowo odkrytą lukę w pakiecie Microsoft Office.
Szczegóły udostępnione przez Proofpoint na Twitterze sugerują, że grupa hakerska znana jako TA413 aktywnie wykorzystuję tę lukę (nazywaną przez badaczy „Follina”) w złośliwych dokumentach Worda, które rzekomo były wysyłane z Centralnej Administracji Tybetańskiej, tybetańskiego rządu na uchodźstwie z siedzibą w Dharamsali w Indiach. Grupa TA413 to APT (advanced persistent threat), aktor, który według specjalistów powiązany jest z chińskim rządem i już wcześniej obierał na cel społeczność tybetańską na uchodźstwie.
Hakerzy powiązani z chińskim rządem wykorzystują nowo odkrytą lukę w pakiecie Microsoft Office.
Interesting maldoc was submitted from Belarus. It uses Word’s external link to load the HTML and then uses the “ms-msdt” scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Chińscy hakerzy bardzo chętnie wykorzystują luki w zabezpieczeniach oprogramowania do atakowania Tybetańczyków. Raport opublikowany przez Citizen Lab w 2019 r. udokumentował ataki na szeroką skalę na tybetańskich polityków za pomocą oprogramowania szpiegującego, w tym exploitów w przeglądarkach na Androida i złośliwych linków wysyłanych przez WhatsApp. W tym celu wykorzystano również rozszerzenia przeglądarki, a wcześniejsza analiza Proofpoint ujawniła wykorzystanie złośliwego rozszerzenia do Firefoksa do szpiegowania tybetańskich aktywistów.
O nowej luce w oprogramowaniu Microsoft Word zrobiło się głośno 27 maja, kiedy grupa badająca bezpieczeństwo znana jako Nao Sec ujawniła na Twitterze złośliwy kod dostarczany za pośrednictwem dokumentów Word, które ostatecznie zostały wykorzystane do wykonywania poleceń za pomocą PowerShell, potężnego narzędzia do administrowania systemem dla Windowsa.
Dwa dni później Kevin Beaumont, specjalista od cyberbezpieczeństwa, podzielił się dalszymi szczegółami na temat luki w zabezpieczeniach. Zgodnie z analizą Beaumonta exploit pozwala spreparowanemu złośliwemu dokumentowi Worda na ładowanie plików HTML ze zdalnego serwera WWW, a następnie wykonywanie poleceń PowerShell poprzez przejęcie Microsoft Support Diagnostic Tool (MSDT), programu, który zwykle zbiera informacje o awariach i innych problemach z aplikacjami Microsoftu.
Microsoft potwierdził istnienie luki, oficjalnie oznaczonej jako CVE-2022-30190, chociaż istnieją doniesienia, że wcześniej gigant z Redmond ignorował zgłoszenia o tym błędzie. Jak możemy przeczytać na blogu Microsoftu dotyczącym bezpieczeństwa, osoba wykorzystująca tę lukę może instalować programy, uzyskiwać dostęp do danych, modyfikować je lub usuwać, a nawet tworzyć nowe konta użytkowników w zaatakowanym systemie. Jak dotąd producent nie wydał oficjalnej łatki, ale zaproponował tymczasowe rozwiązanie, czyli ręczne wyłączenie funkcji ładowania adresów URL narzędzia MSDT.
Ze względu na szerokie wykorzystanie pakietu Microsoft Office i powiązanych z nim produktów, potencjalne zagrożenie ataku dla tej luki jest duże. Bieżąca analiza sugeruje, że Follina może być wykorzystywana w Office 2013, 2016, 2019, 2021, Office ProPlus i Office 365.
Zobacz także:
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS