Ciddi bir Microsoft Office güvenlik açığı, saldırganların en az bir ay boyunca çoğu güvenlik önlemini atlayan hedef sistemlerde kod yürütmesine izin verdi. Araştırmacılar, bu haftaki Salı Yaması'nın devlet destekli bilgisayar korsanlarının yararlandığı güvenlik açığını etkisiz hale getirdiğini söylüyor.
Sophos tarafından gerçekleştirilen testler, Salı günkü KB5014699 Windows güncellemesinin, kötü amaçlı Microsoft Word dosyalarının hedef sistemlerde Powershell komutlarını yürütmesine izin veren Follina istismarını etkisiz hale getirdiğini doğruladı. Bu istismar Office 2013, 2016, 2019, 2021 ile Windows 10 ve 11'de Microsoft 365'in bazı sürümlerini etkiledi.
Follina, uzak bir web sunucusundan bir HTML dosyası almak için Microsoft Tanılama Aracı aracılığıyla çalıştı ve ardından Powershell kodunu çalıştırmak için ms-msdt MSProtocol Tekdüzen Kaynak Tanımlayıcı'yı kullandı. Özellikle tehlikeliydi çünkü Windows Defender buna karşı koruma sağlamadı ve çalışması için yükseltilmiş ayrıcalıklara veya Office makrolarına ihtiyacı yoktu. Belgelere gömülü kötü amaçlı kodları durdurmak için tasarlanan Office'in Korumalı Modu bile Follina'yı durduramadı. Kullanıcılar, Windows Gezgini'nin önizleme bölmesinde güvenliği ihlal edilmiş bir belgeyi açarak bunu tetikleyebilir.
https://twitter.com/NakedSecurity/status/1537094086292815872?s=20&t=H16FVFSE-WKD9Cw50-Sc5A
Çinli bilgisayar korsanları, bu istismarı Tibet diasporasının üyelerine karşı kullandı. Mayıs ayında bir başka saldırı Beyaz Rusya'daki kullanıcıları hedef aldı. Bu ayın başlarında Proofpoint, bir devlet aktöründen geldiğinden şüphelendiği Avrupa Birliği ve ABD yerel yönetimlerini hedef alan bir Follina saldırısını engelledi.
Araştırmacılar, Nisan ayında Microsoft'u Follina konusunda uyardı, ancak başlangıçta, istismarı kritik bir güvenlik tehdidi olarak görmedi - CVE-2022-30190 olarak izlendi. KB5014699 güncellemesinin yama notlarında Follina'dan bahsedilmiyor, ancak Sophos, daha fazla testin güncellemeyi yükledikten sonra hatanın artık çalışmadığını gösterdiğini bildiriyor.
Yorum yapabilmek için giriş yapmalısınız.