Недавно обнаруженная уязвимость в Microsoft Office уже используется хакерами, связанными с правительством Китая. исследование анализа угроз от охранной фирмы Proofpoint.
Подробности, опубликованные Proofpoint в Твиттере, позволяют предположить, что хакерская группа с меткой TA413 использовала уязвимость (названную исследователями «Follina») во вредоносных документах Word, якобы отправленных из Центральной тибетской администрации, тибетского правительства в изгнании, базирующегося в Дхарамсале, Индия. Группа TA413 — это APT, или «продвинутая постоянная угроза», действующее лицо, которое, как полагают, связано с правительством Китая и имеет ранее было замечено нападение на тибетское изгнание.
В целом, китайские хакеры имеют опыт использования брешей в безопасности программного обеспечения для нападения на тибетцев. А отчет опубликованные Citizen Lab в 2019 году, задокументировали обширное нацеливание шпионских программ на тибетских политических деятелей, в том числе с помощью эксплойтов браузера Android и вредоносных ссылок, отправленных через WhatsApp. Расширения браузера также были использованы для этой цели, а предыдущий анализ, проведенный Proofpoint, выявил использование вредоносного дополнения Firefox шпионить за тибетскими активистами.
Уязвимость Microsoft Word впервые привлекла к себе всеобщее внимание 27 мая, когда исследовательская группа по безопасности, известная как Nao Sec, обратилась в Twitter, чтобы обсудить образец отправлены в онлайн-сервис сканирования вредоносных программ VirusTotal. В твиттере Nao Sec вредоносный код был отмечен как доставленный через документы Microsoft Word, которые в конечном итоге использовались для выполнения команд через PowerShell, мощный инструмент системного администрирования для Windows.
Интересный maldoc прислали из Беларуси. Он использует внешнюю ссылку Word для загрузки HTML, а затем использует схему «ms-msdt» для выполнения кода PowerShell.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— нао_сек (@nao_sec) 27 мая 2022 г.
В Сообщение блога опубликованном 29 мая, исследователь Кевин Бомонт поделился дополнительными подробностями об уязвимости. Согласно анализу Бомонта, уязвимость позволяла созданному со злым умыслом документу Word загружать HTML-файлы с удаленного веб-сервера, а затем выполнять команды PowerShell, взламывая Microsoft Support Diagnostic Tool (MSDT) — программу, которая обычно собирает информацию о сбоях и других проблемах с приложениями Microsoft.
Майкрософт теперь признал уязвимостьофициальное название CVE-2022-30190, хотя есть отчеты что более ранние попытки уведомить Microsoft о той же ошибке были отклонены.
Согласно с Собственный блог Майкрософт по вопросам безопасности, злоумышленник, способный воспользоваться этой уязвимостью, может устанавливать программы, получать доступ, изменять или удалять данные и даже создавать новые учетные записи пользователей в скомпрометированной системе. До сих пор Microsoft не выпустила официальный патч, но предлагаемые меры по смягчению последствий для уязвимости, связанной с ручным отключением функции загрузки URL-адреса инструмента MSDT.
Из-за широкого использования Microsoft Office и связанных с ним продуктов потенциальная поверхность атаки для этой уязвимости велика. Текущий анализ показывает, что Follina влияет на Office 2013, 2016, 2019, 2021, Office ProPlus и Office 365; и, по состоянию на вторник, Агентство кибербезопасности и безопасности инфраструктуры США было призывая системных администраторов следовать указаниям Microsoft для смягчения эксплуатации.