02.06.2022 | Недавняя уязвимость 0-day в Microsoft Office уже эксплуатируется китайскими хакерами |
Предположительно связанная с правительством КНР киберпреступная группировка активно эксплуатирует уязвимость нулевого дня в Microsoft Office, известную как Follina, для удаленного выполнения кода на атакуемых Windows-системах. Уязвимость CVE-2022-30190 присутствует в утилите Microsoft Windows Support Diagnostic Tool (MSDT) и затрагивает все поддерживаемые Microsoft клиентские и серверные версии Windows. Как сообщают специалисты ИБ-компании Proofpoint, китайская APT-группировка TA413 эксплуатирует Follina для атак на свои излюбленные мишени – тибетцев. Выдавая себя за отдел по защите прав женщин Центральной тибетской администрации (с помощью домена tibet-gov.web[.]app), злоумышленники распространяют Zip-архивы с вредоносными документами Word. Когда жертва открывает документ или его превью, через протокол MSDT на системе жертвы выполняется вредоносный код. Исследователь безопасности MalwareHunterTeam также обнаружил документы DOCX с именами файлов на китайском языке, использующиеся для установки троянов для похищения данных через http://coolrat[.]xyz. Успешная эксплуатация уязвимости позволяет злоумышленникам запускать произвольный код с привилегиями вызывающего приложения, поясняется в руководстве по исправлению проблемы от Microsoft. Благодаря этому они могут устанавливать программы, просматривать, модифицировать и удалять данные, а также создавать новые учетные записи в контексте привилегий пользователя. Администраторы могут заблокировать попытки эксплуатации уязвимости, отключив протокол MSDT, использующийся хакерами для запуска инструмента диагностики и выполнения кода на уязвимой системе. Также рекомендуется отключить предварительный просмотр в Проводнике Windows, поскольку это является еще одним вектором атаки. |
Проверить безопасность сайта