Kinesiske hackere udnytter den nyeste Microsoft Office Zero-Day sårbarhed

En såkaldt advanced persistent threat (APT) på linje med kinesiske statsinteresser er blevet observeret i Microsoft Office for at opnå kodeudførelse på berørte systemer i forbindelse med den nye Zero-Day-fejl.

Skkerhedsfirma Proofpoint skriver i et tweet følgende:

“TA413 CN APT udnytter Follina Zero-Day ved hjælp af URL’er til at levere ZIP-arkiver, der indeholder Word-dokumenter, der bruger teknikken,”

“Kampagner udgiver sig for at være den centrale tibetanske administrations ‘Women Empowerments Desk’ og bruger domænet tibet-gov.web[.] app.”

TA413 er bedst kendt for sine kampagner rettet mod den tibetanske diaspora for at levere implantater som Exile RAT og Sepulcher samt en useriøs Firefox-browserudvidelse kaldet FriarFox.

Den høje sværhedsgrad sikkerhedsfejl, døbt Follina og sporet som CVE-2022-30190 (CVSS-score: 7.8), vedrører et tilfælde af fjernudførelse af kode, der misbruger “ms-msdt:” protokol URI-skemaet til at udføre vilkårlig kode.

Specifikt, angrebet gør det muligt for hackere at omgå ”beskyttet visning” sikkerhedsforanstaltninger for mistænkelige filer ved blot at ændre dokumentet til en Rich Text Format (RTF) fil, hvorved den injicerede kode kan køres uden engang at åbne dokumentet via Preview Rude i Windows File Explorer.

Mens fejlen fik udbredt opmærksomhed i sidste uge, peger beviser på den aktive udnyttelse af den diagnostiske værktøjsfejl i virkeligheden er angreb rettet mod russiske brugere for over en måned siden den 12. april 2022, da den blev afsløret for Microsoft.

Virksomheden betragtede det ikke som et sikkerhedsproblem og lukkede sårbarhedsindsendelsesrapporten med henvisning til grunde til, at MSDT-værktøjet krævede en adgangskode leveret af en supporttekniker, før den kan aflevere sin ødelæggende nyttelast.

Sårbarheden findes i alle aktuelt understøttede Windows-versioner og kan udnyttes via Microsoft Office-versioner Office 2013 via Office 21- og Office Professional Plus-udgaver.

“Dette elegante angreb er designet til at omgå sikkerhedsprodukter og flyve under radaren ved at udnytte Microsoft Office’s fjernskabelonfunktion og ms-msdt-protokollen til at udføre ondsindet kode, alt sammen uden behov for makroer,” bemærker Malwarebytes ‘Jerome Segura.

Selvom der ikke er nogen officiel patch tilgængelig på dette tidspunkt, har Microsoft anbefalet at deaktivere MSDT URL-protokollen for at forhindre angrebsvektoren. Derudover er det blevet anbefalet at slukke for Preview-ruden i File Explorer.

Nikolas Cemerikic fra Immersive Labs siger

“Det, der får Follina til at skille sig ud, er, at denne udnyttelse ikke udnytter Office-makroer, og derfor fungerer den selv i miljøer, hvor makroer er blevet deaktiveret helt,”

“Alt, hvad der kræves for at udnyttelsen kan træde i kraft, er, at en bruger åbner og ser Word-dokumentet eller får vist en forhåndsvisning af dokumentet ved hjælp af Windows Stifinder Preview-ruden. Da sidstnævnte ikke kræver, at Word starter fuldt ud, bliver dette effektivt et nul-klik-angreb.”

Kilde: TheHackerNews
Fotokredit: Microsoft.com

Foto: The Verge