Według badania analizy zagrożeń przeprowadzonego przez firmę Proofpoint zajmującą się bezpieczeństwem, hakerzy powiązani z chińskim rządem wykorzystują nowo odkrytą lukę w pakiecie Microsoft Office.
Szczegóły udostępnione przez Proofpoint na Twitterze sugerują, że grupa hakerska znana jako TA413 aktywnie wykorzystuję tę lukę (nazywaną przez badaczy „Follina”) w złośliwych dokumentach Worda, które rzekomo były wysyłane z Centralnej Administracji Tybetańskiej, tybetańskiego rządu na uchodźstwie z siedzibą w Dharamsali w Indiach. Grupa TA413 to APT (advanced persistent threat), aktor, który według specjalistów powiązany jest z chińskim rządem i już wcześniej obierał na cel społeczność tybetańską na uchodźstwie.
Hakerzy powiązani z chińskim rządem wykorzystują nowo odkrytą lukę w pakiecie Microsoft Office.
Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022
Chińscy hakerzy bardzo chętnie wykorzystują luki w zabezpieczeniach oprogramowania do atakowania Tybetańczyków. Raport opublikowany przez Citizen Lab w 2019 r. udokumentował ataki na szeroką skalę na tybetańskich polityków za pomocą oprogramowania szpiegującego, w tym exploitów w przeglądarkach na Androida i złośliwych linków wysyłanych przez WhatsApp. W tym celu wykorzystano również rozszerzenia przeglądarki, a wcześniejsza analiza Proofpoint ujawniła wykorzystanie złośliwego rozszerzenia do Firefoksa do szpiegowania tybetańskich aktywistów.
O nowej luce w oprogramowaniu Microsoft Word zrobiło się głośno 27 maja, kiedy grupa badająca bezpieczeństwo znana jako Nao Sec ujawniła na Twitterze złośliwy kod dostarczany za pośrednictwem dokumentów Word, które ostatecznie zostały wykorzystane do wykonywania poleceń za pomocą PowerShell, potężnego narzędzia do administrowania systemem dla Windowsa.
Dwa dni później Kevin Beaumont, specjalista od cyberbezpieczeństwa, podzielił się dalszymi szczegółami na temat luki w zabezpieczeniach. Zgodnie z analizą Beaumonta exploit pozwala spreparowanemu złośliwemu dokumentowi Worda na ładowanie plików HTML ze zdalnego serwera WWW, a następnie wykonywanie poleceń PowerShell poprzez przejęcie Microsoft Support Diagnostic Tool (MSDT), programu, który zwykle zbiera informacje o awariach i innych problemach z aplikacjami Microsoftu.
Microsoft potwierdził istnienie luki, oficjalnie oznaczonej jako CVE-2022-30190, chociaż istnieją doniesienia, że wcześniej gigant z Redmond ignorował zgłoszenia o tym błędzie. Jak możemy przeczytać na blogu Microsoftu dotyczącym bezpieczeństwa, osoba wykorzystująca tę lukę może instalować programy, uzyskiwać dostęp do danych, modyfikować je lub usuwać, a nawet tworzyć nowe konta użytkowników w zaatakowanym systemie. Jak dotąd producent nie wydał oficjalnej łatki, ale zaproponował tymczasowe rozwiązanie, czyli ręczne wyłączenie funkcji ładowania adresów URL narzędzia MSDT.
Ze względu na szerokie wykorzystanie pakietu Microsoft Office i powiązanych z nim produktów, potencjalne zagrożenie ataku dla tej luki jest duże. Bieżąca analiza sugeruje, że Follina może być wykorzystywana w Office 2013, 2016, 2019, 2021, Office ProPlus i Office 365.
Zobacz także:
- Nowy iOS przyniesie długo wyczekiwaną funkcję, ale podobno tylko dla serii iPhone 14 Pro
- Przecieki na temat harmonogramu wydawniczego serii GeForce RTX 40. Na początek flagowiec
- Wasze obecne dyski SSD mogą nie wspierać AMD Smart Access Storage
Pokaż / Dodaj komentarze do: Uwaga, chińscy hakerzy wykorzystują lukę w oprogramowaniu Microsoft Office