Especialistas alertaram que hackers chineses já estão explorando ativamente uma vulnerabilidade de dia 0 no Microsoft Office conhecida como Follina para executar remotamente códigos maliciosos em sistemas vulneráveis.
Deixe-me lembrá-lo disso a descoberta de Folina ficou conhecido há poucos dias, embora os primeiros pesquisadores tenham descoberto o bug em abril 2022, mas então Microsoft recusou-se a reconhecer o problema. A vulnerabilidade agora é rastreada como CVE-2022-30190 e é conhecido por ser explorável através da abertura normal de documentos do Word ou visualização do File Explorer, usando comandos maliciosos do PowerShell por meio da ferramenta de diagnóstico da Microsoft (MSDT) executar.
O bug afeta todas as versões do Windows que recebem atualizações de segurança, aquilo é, Windows 7 e depois, bem como servidor 2008 e depois.
Deixe-me lembrá-lo de que também escrevemos isso Cair grupo de hackers roubou os códigos-fonte dos produtos da Microsoft.
Anteriormente, especialistas já relataram que a descoberta de Follina é um sinal muito preocupante, já que a vulnerabilidade abre um novo vetor de ataque usando o Microsoft Office. O fato é que o bug funciona sem privilégios elevados, permite ignorar o Windows Defender e não requer a ativação de macros para executar binários ou scripts.
Como Ponto de prova especialistas agora dizem, os hackers do “governo” chinês do TA413 grupo já aproveitaram o problema de Follina, visando os seus ataques à comunidade tibetana internacional.
Os invasores distribuem arquivos ZIP às vítimas que contêm documentos maliciosos do Word projetados para atacar CVE-2022-30190. As iscas são disfarçadas como mensagens da Administração Central Tibetana e usam o site tibet-gov.web[.]domínio do aplicativo.
Renomado pesquisador de segurança da informação Equipe MalwareHunter também escreve que ele encontrei documentos DOCX com nomes de arquivos em chinês que são usados para entregar cargas maliciosas através do http://legal[.]domínio xyz, incluindo malware para roubar senhas.
Como ainda não existe patch para Follina, administradores e usuários podem bloquear ataques a CVE-2022-30190 desabilitando o protocolo MSDT URI, que os invasores usam para iniciar depuradores e executar código em sistemas vulneráveis. Também é recomendado desabilitar a visualização de arquivos no Windows Explorer, porque o ataque também é possível desta forma.