Von China unterstützte Hacker nutzen eine ungepatchte Zero-Day-Schwachstelle von Microsoft Office, bekannt als „Follina“, aus, um bösartigen Code aus der Ferne auf Windows-Systemen auszuführen.
Die Sicherheitslücke mit hohem Schweregrad – verfolgt als CVE-2022-30190 – wird bei Angriffen verwendet, um böswillige PowerShell-Befehle über das Microsoft-Diagnosetool (MSDT) auszuführen, wenn speziell gestaltete Office-Dokumente geöffnet oder in der Vorschau angezeigt werden. Der Fehler, der 41 Microsoft-Produkte betrifft, darunter Windows 11 und Office 365, funktioniert ohne erhöhte Rechte, umgeht die Windows Defender-Erkennung und erfordert keinen aktivierten Makrocode, um Binärdateien oder Skripte auszuführen.
Der Zero-Day kann auch die Protected View-Funktion von Microsoft umgehen, ein Office-Tool, das vor potenziell schädlichen Dateien und Dokumenten warnt. Jägerin Die Forscher warnten davor, dass die Konvertierung des Dokuments in eine RTF-Datei (Rich Text Format) es Angreifern ermöglichen könnte, diese Warnung zu umgehen, und dass der Exploit auch mit einer Hover-Vorschau einer heruntergeladenen Datei ausgelöst werden kann, die keine Klicks erfordert.
Microsoft hat gewarnt, dass der Fehler es Angreifern ermöglichen könnte, Programme zu installieren, Daten zu löschen und neue Konten in dem von den Benutzerrechten erlaubten Kontext zu erstellen.
Cybersicherheitsforscher beobachteten, wie Hacker den Fehler seit April ausnutzten, um russische und weißrussische Benutzer anzugreifen, und die Enterprise-Sicherheitsfirma Proofpoint sagte diese Woche, dass eine staatlich geförderte chinesische Hacking-Gruppe den Zero-Day für Angriffe auf die internationale tibetische Gemeinschaft ausgenutzt hat.
„TA413 CN APT entdeckt [in-the-wild] Ausnutzung des Zero-Day von Follina unter Verwendung von URLs zur Bereitstellung von ZIP-Archiven, die Word-Dokumente enthalten, die diese Technik verwenden“, Proofpoint sagte in einem Tweet.“ Die Kampagnen geben sich als „Women Empowerments Desk“ der Zentralen Tibetischen Verwaltung aus und verwenden die Domain tibet-gov.web[.]App.“
Proofpoint teilt Tech mit, dass es zuvor beobachtet hat, dass der TA413-Bedrohungsakteur – auch als „LuckyCat“ und „Earth Berberoka“ verfolgt – tibetische Organisationen durch die Verwendung bösartiger Browsererweiterungen und Spionagekampagnen zum Thema COVID-19 angegriffen hat.
Der Zero-Day von Follina wurde Microsoft am 12. April erstmals gemeldet, nachdem Word-Dokumente – die vorgaben, von der russischen Nachrichtenagentur Sputnik zu stammen und den Empfängern ein Radiointerview anzubieten – gefunden wurden, die den Fehler in freier Wildbahn missbrauchten. Allerdings von der Shadow Chaser Group Verrückterder Forscher, der zuerst über den Zero-Day berichtete, sagte, Microsoft habe den Fehler zunächst als gekennzeichnet kein „sicherheitsrelevantes Problem“. Der Technologieriese teilte dem Forscher später mit, dass das „Problem behoben wurde“, aber ein Patch scheint nicht verfügbar zu sein.
Tech hat Microsoft gefragt, wann ein Patch veröffentlicht wird, aber das Unternehmen hat nicht geantwortet. Das Unternehmen hat jedoch neue ausgestellt Orientierungshilfe die Administratoren darauf hinweist, dass sie Angriffe blockieren können, die CVE-2022-30190 ausnutzen, indem sie das MSDT-URL-Protokoll zusammen mit dem Vorschaufenster im Windows Explorer deaktivieren.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) eine Warnung ausgegeben am Dienstag forderte Benutzer und Administratoren auf, die Anleitung von Microsoft zu lesen und die erforderlichen Problemumgehungen anzuwenden.