Новооткрита уязвимост в Microsoft Office вече се използва от хакери, свързани с китайското правителство, според проучване за анализ на заплахите от фирмата за сигурност Proofpoint.

Подробности, споделени от Proofpoint в Twitter, предполагат, че хакерска група с името TA413 е използвала уязвимостта (наречена Follina от изследователите) в злонамерени документи на Word, за които се твърди, че са изпратени от Централната тибетска администрация - тибетското правителство в изгнание със седалище в Дарамсала, Индия. Групата TA413 е APT, или „напреднала постоянна заплаха“ (advanced persistent threat): за нея се смята, че е свързана с китайското правителство и преди това потенциално е атакувала общността на тибетските изгнаници.

Като цяло китайските хакери имат история на използване на пропуски в софтуерната сигурност, за да се атакува Тибет. Доклад, публикуван от Citizen Lab през 2019 г., документира широка атака към тибетски политически фигури с шпионски софтуер, включително чрез експлойти на браузъра в Android и злонамерени връзки, изпращани чрез WhatsApp. Разширенията на браузъра също са използвани за целта, като предишен анализ от Proofpoint разкрива използването на злонамерена приставка за Firefox за шпиониране на тибетски активисти.

Уязвимостта на Microsoft Word за първи път започна да получава широко внимание на 27 май, когато група за изследване на сигурността, известна като Nao Sec, използва Twitter, за да обсъди извадка, предоставена на онлайн услугата за сканиране на зловреден софтуер VirusTotal. Постът на Nao Sec отбеляза, че злонамереният код се доставя чрез документи на Microsoft Word, които в крайна сметка бяха използвани за изпълнение на команди чрез PowerShell: мощен инструмент за системно администриране за Windows.

В публикация в блог, публикувана на 29 май, изследователят Кевин Бомонт сподели допълнителни подробности за уязвимостта. Според анализа му уязвимостта позволява на злонамерено изработен документ на Word да зарежда HTML файлове от отдалечен уеб сървър и след това да изпълнява команди на PowerShell чрез отвличане на Microsoft Support Diagnostic Tool (MSDT): програма, която обикновено събира информация за сривове и други проблеми с приложенията на Microsoft.

Microsoft вече призна уязвимостта, официално озаглавена CVE-2022-30190, въпреки че има съобщения, че по-ранните опити за уведомяване на Microsoft за същата грешка са били отхвърлени.

Според собствения блог за сигурността на Microsoft нападател, който може да използва уязвимостта, може да инсталира програми, да осъществява достъп, да променя или изтрива данни и дори да създава нови потребителски акаунти в компрометирана система. Досега Microsoft не е издала официална корекция, но е предложила мерки за смекчаване на уязвимостта, които включват ръчно деактивиране на функцията за зареждане на URL адреси на инструмента MSDT.

Поради широкото използване на Microsoft Office и свързаните с него продукти потенциалната повърхност за атака за уязвимостта е голяма. Текущият анализ предполага, че Follina засяга Office 2013, 2016, 2019, 2021, Office ProPlus и Office 365; а от вторник Агенцията за киберсигурност и инфраструктурна сигурност на САЩ призова системните администратори да прилагат насоките на Microsoft за смекчаване на уязвимостта.

Снимка: Pikrepo

Виж още: Бил Гейтс ползва гъвкав смартфон, но той не е на Microsoft