A vulnerabilidade recentemente divulgada no Microsoft Office, conhecida como Follina, foi explorada por hackers patrocinados pelo Estado. Eles fizeram isso para atingir as supostas entidades das seguintes regiões:-
Em 31 de maio, a Microsoft lançou soluções alternativas para uma vulnerabilidade de dia zero descoberta recentemente e conhecida como “Follina”.
No momento da sua descoberta, esta vulnerabilidade não recebeu o número de rastreamento. No entanto, desta vez o número de rastreamento desta vulnerabilidade foi atribuído:-
- CVE-2022-30190 com pontuação CVSS 7.8
Aqui está o que afirma o comunicado publicado pela Microsoft: –
“Recentemente, a Microsoft lançou um boletim de segurança sobre uma vulnerabilidade relacionada à Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT) em Windowsao qual atribuiu o CVE-2022-30190.”
Cadeia de ataque
Deve-se observar que o MSDT usa o protocolo URL ao interagir com um aplicativo de chamada como o Word, representando assim uma vulnerabilidade de execução remota de código.
Quando esta vulnerabilidade é explorada, um invasor bem-sucedido será capaz de executar código arbitrário com privilégios totais, como se o aplicativo chamador fosse ele mesmo.
No contexto permitido pelos direitos do usuário, o invasor pode neste momento instalar programas, criar contas, visualizar, editar, excluir dados ou alterar dados que foram armazenados.
Tendo enviado mais de 1.000 e-mails de phishing contendo um documento de isca, o que torna esse ataque muito mais devastador. Um RTF (242d2fa02535599dae793e731b6db5a2) contendo a carga útil da exploração foi usado nesta campanha que se disfarçou como um aumento de salário e se conectou a 45.76.53[.253] para baixar a carga útil do exploit.
As cargas úteis, que se manifestam como scripts do PowerShell, são codificadas em Base64 para que sejam transmissíveis. Este script do PowerShell está sendo baixado de um servidor remoto chamado “notificação do vendedor[.]live”, em resumo, esse script funciona como um downloader.
Em um relatório recente, os pesquisadores da Proofpoint afirmaram que o grupo APT TA413, ligado à China, geralmente usa documentos Word armados com arquivos ZIP contra vítimas de spear-phishing.
No ataquesos invasores usam o domínio tibet-gov.web[.]aplicativo para simular o Balcão de Empoderamento da Mulher da “Administração Central Tibetana”.
Com explorações da vulnerabilidade Follina, menos de 10 clientes Proofpoint dos governos europeus e locais dos EUA foram visados.
No momento, a exploração afeta principalmente as versões mais antigas do Microsoft Office: –
- Microsoft Office 2013
- Microsoft Office 2016
Embora a investigação mais aprofundada indique que a falha afeta até mesmo as versões mais recentes do Microsoft Office.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
