هكرز صينيون يستغلون أحدث ثغرة أمنية في Microsoft Office.

0

هكرز صينيون يستغلون أحدث ثغرة أمنية في Microsoft Office. تم اكتشاف جهة فاعلة متقدمة للتهديد المستمر (APT) تتماشى مع أهداف الدولة الصينية تستغل ثغرة أمنية جديدة في Microsoft Office للحصول على تنفيذ التعليمات البرمجية على أجهزة الكمبيوتر المتأثرة.

في تغريدة ، زعمت شركة Proofpoint لأمن الشركات أن “TA413 CN APT وجدت [في البرية] تستغل عناوين URL في Follina ليوم الصفر لتوزيع حزم ZIP التي تحتوي على مستندات Word التي تعزز هذا النهج.”

“تظهر الحملات على أنها” مكتب تمكين المرأة “التابع للإدارة التبتية المركزية ، وتستخدم النطاق tibet-gov.web [.] التطبيق.”

تشتهر TA413 في المقام الأول بأنشطتها التي تستهدف الشتات التبتي من أجل توزيع الغرسات مثل Exile RAT و Sepulcher ، بالإضافة إلى امتداد متصفح Firefox المارق المعروف باسم FriarFox.

Follina ، مشكلة أمنية عالية الخطورة تم تحديدها على أنها CVE-2022-30190 (درجة CVSS: 7.8) ، هي حالة تنفيذ التعليمات البرمجية عن بُعد التي تستغل مخطط بروتوكول URI “ms-msdt:” لتنفيذ تعليمات برمجية عشوائية.

يسمح هذا النهج للجهات الفاعلة في التهديد على وجه التحديد بتجاوز حماية العرض المحمي للملفات المشبوهة عن طريق تحويل المستند ببساطة إلى ملف تنسيق نص منسق (RTF) ، مما يسمح بتنفيذ التعليمات البرمجية المحقونة دون الوصول إلى المستند عبر جزء المعاينة في مستكشف ملفات Windows.

بينما تلقت المشكلة إشعارًا مكثفًا هذا الأسبوع ، تشير الدلائل إلى أنها استخدمت بنشاط في هجمات حقيقية تستهدف المستخدمين الروس منذ أكثر من شهر ، في 12 أبريل 2022 ، عندما تم الكشف عنها لشركة Microsoft.

ومع ذلك ، لم تعتبر الشركة ذلك مصدر قلق أمني وأغلقت تقرير إرسال الثغرات الأمنية ، مشيرة إلى حقيقة أن الأداة المساعدة MSDT تتطلب مفتاح مرور قدمه أخصائي دعم قبل أن تتمكن من تنفيذ الحمولات.

تحدث الثغرة الأمنية في جميع أنظمة Windows المدعومة حاليًا ويمكن استغلالها باستخدام Microsoft Office 2013 من خلال إصدارات Office 21 و Office Professional Plus.

أوضح جيروم سيغورا من Malwarebytes أن “هذا النهج المبتكر يهدف إلى تجنب الاكتشاف من خلال استغلال قدرة قالب Microsoft Office البعيد وبروتوكول ms-msdt لتنفيذ تعليمات برمجية ضارة ، كل ذلك دون الحاجة إلى وحدات ماكرو”.

على الرغم من عدم توفر إصلاح رسمي حاليًا ، توصي Microsoft بإلغاء تنشيط بروتوكول MSDT URL لمنع ناقل الهجوم. من الجيد أيضًا تعطيل جزء المعاينة في مستكشف الملفات.

أوضح نيكولاس سيمريكيك من شركة Immersive Labs أن “ما يميز” ​​Follina “هو أنها لا تعتمد على وحدات ماكرو Office ، وبالتالي فهي تعمل حتى في الظروف التي تمت فيها إزالة وحدات الماكرو بالكامل”.

“يتطلب الاستغلال فقط أن يفتح المستخدم مستند Word ويقرأه ، أو يرى معاينة للمستند باستخدام جزء معاينة مستكشف Windows. نظرًا لأن الأخير لا يحتاج إلى بدء تشغيل Word بالكامل ، فإن هذا يصبح عمليًا هجومًا بنقرة صفرية. ”

اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. هكرز صينيون يستغلون أحدث ثغرة أمنية في Microsoft Office.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.