Microsoft, korkunç Follina güvenlik açığı için bir yama da dahil olmak üzere Windows için Haziran 2022 toplu güncellemesini yayınladı.
Microsoft, danışma belgesinde “Microsoft, müşterilerin güvenlik açığından tamamen korunmak için güncellemeleri yüklemelerini şiddetle tavsiye ediyor. Sistemleri otomatik güncellemeleri alacak şekilde yapılandırılmış müşterilerin başka bir işlem yapmasına gerek yok” dedi.
Siber güvenlik uzmanı Kevin Beaumont tarafından keşfedilen ve “Follina” olarak adlandırılan kusur, Windows’ta farklı sorun giderici paketleri çalıştırmak için tasarlanmış msdt.exe adlı bir Windows yardımcı programından yararlanıyor. Araştırmacı, kurban bir silaha dönüştürülmüş Word dosyasını indirdiğinde, onu çalıştırmaya bile gerek duymadığını, Windows Gezgini’nde önizlemesinin aracın kötüye kullanılması için yeterli olduğunu buldu (yine de bir RTF dosyası olmalı).
Follina vahşi doğada tacize uğradı
Saldırganlar bu yardımcı programı kötüye kullanarak hedef uç noktayı söyleyebilirler. (yeni sekmede açılır) uzak bir URL’den bir HTML dosyasını çağırmak için. Saldırganlar xml biçimlerini seçti[.]com alan adı, muhtemelen çoğu Word belgesinde kullanılan benzer görünümlü, meşru olsa da openxmlformats.org alan adının arkasına saklanmaya çalışıyor.
HTML dosyası, bir yükü indiren ve yürüten bir komut dosyası olan gerçek amacını gizleyen çok sayıda “önemsiz” içerir.
Microsoft’un düzeltmesi, Office’in Windows protokolü URI işleyicilerini otomatik olarak ve kullanıcı etkileşimi olmadan yüklemesini engellemez, ancak PowerShell enjeksiyonunu engelleyerek saldırıyı işe yaramaz hale getirir.
Araştırmacılar, keşfedilir keşfedilmez kusurun vahşi doğada kötüye kullanıldığını tespit etmeye başladılar. İddiaya göre, onu en erken benimseyenler arasında, siber saldırılar düzenleyen Çin devlet destekli tehdit aktörleri vardı. (yeni sekmede açılır) uluslararası Tibet topluluğuna karşı.
Proofpoint’ten siber güvenlik araştırmacıları iki hafta önce, “TA413 CN APT, ITW’nin tekniği kullanan Word Belgelerini içeren Zip Arşivlerini sunmak için URL’leri kullanarak Follina 0Day’den yararlandığını tespit etti.” Aynı şirket, Follina’nın Qbot’u dağıtmak için başka bir tehdit aktörü TA570 tarafından kötüye kullanıldığını tespit ederken, NCC Group, bilinen bir fidye yazılımı grubu olan Black Basta tarafından daha fazla kötüye kullanıldığını tespit etti.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)