قراصنة صينيون يبدأون في استغلال أحدث ثغرات أمنية في Microsoft Office
لوحظ وجود جهة فاعلة متقدمة للتهديد المستمر (APT) تتماشى مع مصالح الدولة الصينية وهي تعمل على تسليح عيب يوم الصفر الجديد في Microsoft Office لتحقيق تنفيذ التعليمات البرمجية على الأنظمة المتأثرة.
قالت شركة Proofpoint الأمنية للشركات في تغريدة : “رصدت TA413 CN APT [في البرية] استغلال Follina في اليوم صفر باستخدام عناوين URL لتقديم أرشيفات مضغوطة تحتوي على مستندات Word التي تستخدم هذه التقنية” .
“تنتحل الحملات صفة” مكتب تمكين المرأة “التابع للإدارة التبتية المركزية وتستخدم النطاق tibet-gov.web [.] التطبيق.”
تشتهر TA413 بحملاتها التي تستهدف الشتات التبتي لتقديم غرسات مثل Exile RAT و Sepulcher بالإضافة إلى امتداد متصفح Firefox المارق الذي يطلق عليه اسم FriarFox .
الخلل الأمني عالي الخطورة ، الملقب بـ Follina والمتعقب كـ CVE-2022-30190 (درجة CVSS: 7.8) ، يتعلق بحالة تنفيذ التعليمات البرمجية عن بُعد التي تسيء استخدام نظام URI للبروتوكول “ms-msdt:” لتنفيذ تعليمات برمجية عشوائية.
على وجه التحديد ، يتيح الهجوم لممثلي التهديد التحايل على إجراءات حماية العرض المحمي للملفات المشبوهة ببساطة عن طريق تغيير المستند إلى ملف Rich Text Format (RTF) ، وبالتالي السماح بتشغيل التعليمات البرمجية التي تم إدخالها دون فتح المستند عبر جزء المعاينة . في مستكشف ملفات Windows.
بينما اكتسب الخطأ اهتمامًا واسع النطاق الأسبوع الماضي ، تشير الأدلة إلى الاستغلال النشط لعيب أداة التشخيص في هجمات العالم الحقيقي التي تستهدف المستخدمين الروس منذ أكثر من شهر في 12 أبريل 2022 ، عندما تم الكشف عنها لشركة Microsoft.
ومع ذلك ، لم تعتبر الشركة أنها مشكلة أمنية وأغلقت تقرير إرسال الثغرات الأمنية ، مستشهدة بالأسباب التي تجعل الأداة المساعدة MSDT تتطلب مفتاح مرور يوفره فني دعم قبل أن تتمكن من تنفيذ الحمولات.
توجد الثغرة الأمنية في جميع إصدارات Windows المدعومة حاليًا ويمكن استغلالها عبر إصدارات Microsoft Office Office 2013 من خلال إصدارات Office 21 و Office Professional Plus.
أشار جيروم سيغورا من Malwarebytes إلى أن “هذا الهجوم الأنيق مصمم لتجاوز منتجات الأمان والتحليق تحت الرادار من خلال الاستفادة من ميزة قالب Microsoft Office البعيد وبروتوكول ms-msdt لتنفيذ تعليمات برمجية ضارة ، كل ذلك دون الحاجة إلى وحدات ماكرو” .
على الرغم من عدم وجود تصحيح رسمي متوفر في هذه المرحلة ، فقد أوصت Microsoft بتعطيل بروتوكول MSDT URL لمنع ناقل الهجوم. بالإضافة إلى ذلك ، يُنصح بإيقاف تشغيل جزء المعاينة في مستكشف الملفات.
قال نيكولاس سيمريكيك من شركة Immersive Labs: “ما يميز” Follina “هو أن هذا الاستغلال لا يستفيد من وحدات ماكرو Office ، وبالتالي ، فهو يعمل حتى في البيئات التي تم فيها تعطيل وحدات الماكرو بالكامل”.
“كل ما هو مطلوب حتى يسري مفعول الاستغلال هو أن يقوم المستخدم بفتح مستند Word وعرضه ، أو عرض معاينة للمستند باستخدام جزء معاينة مستكشف Windows. نظرًا لأن الأخير لا يتطلب تشغيل Word بشكل كامل ، فهذا فعال يصبح هجومًا بدون نقرة “.
إرسال التعليق