中国支持的黑客正在利用一个未修补的Microsoft Office零日漏洞,称为“Follina”,在 Windows 系统上远程执行恶意代码。
该高严重性漏洞(编号为CVE-2022-30190 )被用于在打开或预览特制 Office 文档时通过 Microsoft 诊断工具 (MSDT) 执行恶意 PowerShell 命令的攻击。该漏洞影响包括Windows 11和 Office 365 在内的 41 款微软产品,无需提升权限即可工作,绕过 Windows Defender 检测,并且不需要启用宏代码即可执行二进制文件或脚本。
零日漏洞还可以规避 Microsoft 的受保护视图功能,这是一种针对潜在恶意文件和文档发出警告的 Office 工具。 Huntress研究人员警告说,将文档转换为富文本格式 (RTF) 文件可能允许攻击者绕过此警告,并且还可以通过悬停预览下载的文件来触发漏洞,而无需任何点击。
微软警告称,该漏洞可能使攻击者能够在用户权限允许的情况下安装程序、删除数据和创建新帐户。
网络安全研究人员观察到自 4 月以来黑客利用该漏洞针对俄罗斯和白俄罗斯用户,企业安全公司 Proofpoint 本周表示,一个由中国政府资助的黑客组织一直在利用零日漏洞攻击国际藏人社区。
“TA413 CN APT 发现 [in-the-wild] 利用 Follina 零日漏洞利用 URL 来提供包含使用该技术的 Word 文档的 ZIP 档案,”Proofpoint 在推文中说。藏人行政中央和使用域名 tibet-gov.web[.]app。”
Proofpoint 告诉 TechCrunch,它之前已经观察到 TA413 威胁参与者——也被跟踪为“LuckyCat”和“Earth Berberoka”——通过使用恶意浏览器扩展和以 COVID-19 为主题的间谍活动来攻击西藏组织。
Follina 零日漏洞最初是在 4 月 12 日向微软报告的,当时发现 Word 文件(假装来自俄罗斯的 Sputnik 通讯社为收件人提供电台采访)滥用了该漏洞。然而,最先报告零日漏洞的研究人员 Shadow Chaser Group 的疯子表示,微软最初将该漏洞标记为不是“与安全相关的问题”。这家科技巨头后来通知研究人员,“问题已得到修复”,但似乎没有可用的补丁。
TechCrunch 询问微软何时发布补丁,但该公司没有回应。然而,该公司发布了新指南,建议管理员可以通过禁用 MSDT URL 协议以及 Windows 资源管理器中的预览窗格来阻止利用 CVE-2022-30190 的攻击。
美国网络安全和基础设施安全局 (CISA) 周二发布警报,敦促用户和管理员查看微软的指南并应用必要的变通办法。
原文: https://techcrunch.com/2022/06/01/china-backed-hackers-are-exploiting-unpatched-microsoft-zero-day/