✔Уязвимость Follina стала настоящим оружием, но Microsoft не торопится с патчем - «Новости»

08 июня 2022 574 Новости / Изображения / Заработок / Отступы и поля / Текст / Линии и рамки / Преимущества стилей / Вёрстка 0

Напомню, что об обнаружении Follina стало известно в конце мая, хотя первые исследователи обнаружили баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему.

Уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать для выполнения произвольного кода через обычное открытие документа Word или предварительный просмотр в «Проводнике», прибегая к выполнению вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).

Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее.

Хуже того, отмечается, что уязвимость во многом похожа на проблему PrintNightmare, которую Microsoft довольно долго не могла исправить окончательно. Дело в том, что Follina так же потянула за собой обнаружение других багов, последствия от эксплуатации которых могут быть не менее серьезными.

Атаки

Мы уже писали о том, что свежий 0-day активно используют китайские хакеры, а эксперты предупреждали, что скоро подобных атак станет больше. К сожалению, прогнозы специалистов оказались верны: теперь аналитики Proofpoint сообщают, что обнаружили фишинговую кампанию, нацеленную на госорганы Европы и муниципальные власти в США, суммарно затронувшую не менее 10 клиентов компании. По мнению экспертов, за этими атаками стоят правительственные хакеры.

Чтобы обмануть потенциальных жертв и вынудить их открыть документ-приманку, злоумышленники использовали тему повышении зарплаты. Открытие документа приводило к развертыванию скрипта Powershell, который проверял, не является ли система виртуальной машиной, а затем использовался для кражи информации из нескольких браузеров, почтовых клиентов и файловых сервисов, а также для сбора системной информации, после передавая данные на сервер, контролируемый хакерами.

Издание Bleeping Computer рассказывает, что пейлоад собирал множество данных из самых разных приложений, включая:

пароли из браузеров: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc и AVAST Browser;

данные из других приложений: Mozilla Thunderbird, файлы сеанса Netsarang, контакты Windows Live Mail, пароли Filezilla, файл конфигурации ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat;

информацию о системе: данные о компьютере, список имен пользователей, информация о домене Windows.

Также следует отметить, что всплеск эксплуатации Follina также фиксирует «Лаборатория Касперского». Сообщается, что большинство атак приходится на США, а также на Бразилию, Мексику и Россию.

Патчи и критика

Так как патча для Follina все еще нет, администраторы и пользователи могут блокировать атаки на CVE-2022-30190, отключив протокол MSDT, который злоумышленники используют для запуска дебагеров и выполнения кода в уязвимых системах. Также официально рекомендуется отключить предварительный просмотр файлов в «Проводнике» Windows, потому что атака возможна и таким способом.

В отсутствии официального патча уже появился неофициальный, от компании 0patch. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.

Неофициальные патчи представлены для Windows 11 v21H2, Windows 10 (от 1803 до 21H2), Windows 7 и Windows Server 2008 R2. Причем вместо рекомендованного Microsoft отключения MSDT специалисты 0patch добавили дополнительную очистку предоставленного пользователем пути, что тоже помогает избежать эксплуатации бага.

«Обратите внимание: не имеет значения, какая версия Office у вас установлена и установлена ли вообще. Уязвимость также может использовать с помощью других векторов атак, — пишет сооснователь 0patch Митя Колсек. — Вот почему мы выпустили патч для Windows 7, где обработчик ms-msdt: URL вообще не зарегистрирован».

Между тем, ИБ-эксперты уже начинают критиковать Microsoft за нерасторопность и отсутствие исправлений.

«Небольшие команды безопасников в основном рассматривают небрежность Microsoft как признак того, что это “просто очередная уязвимость”, но это определенно не так, — говорит Джейк Уильямс, главный аналитик киберугроз в компании Scythe. — Непонятно, почему Microsoft продолжает преуменьшать значимость этой уязвимости, которая уже активно используется в реальных атаках. Это определенно не помогает командам безопасности».

Исследователи предупреждают, что Европейские правительства и муниципальные власти в США стали объектами фишинговой кампании с использованием вредоносных документов RTF. Хакеры эксплуатируют критическую 0-day уязвимость Follina, патча для которой все еще нет. Напомню, что об обнаружении Follina стало известно в конце мая, хотя первые исследователи обнаружили баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему. Уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать для выполнения произвольного кода через обычное открытие документа Word или предварительный просмотр в «Проводнике», прибегая к выполнению вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT). Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее. Хуже того, отмечается, что уязвимость во многом похожа на проблему PrintNightmare, которую Microsoft довольно долго не могла исправить окончательно. Дело в том, что Follina так же потянула за собой обнаружение других багов, последствия от эксплуатации которых могут быть не менее серьезными. Атаки Мы уже писали о том, что свежий 0-day активно используют китайские хакеры, а эксперты предупреждали, что скоро подобных атак станет больше. К сожалению, прогнозы специалистов оказались верны: теперь аналитики Proofpoint сообщают, что обнаружили фишинговую кампанию, нацеленную на госорганы Европы и муниципальные власти в США, суммарно затронувшую не менее 10 клиентов компании. По мнению экспертов, за этими атаками стоят правительственные хакеры. Чтобы обмануть потенциальных жертв и вынудить их открыть документ-приманку, злоумышленники использовали тему повышении зарплаты. Открытие документа приводило к развертыванию скрипта Powershell, который проверял, не является ли система виртуальной машиной, а затем использовался для кражи информации из нескольких браузеров, почтовых клиентов и файловых сервисов, а также для сбора системной информации, после передавая данные на сервер, контролируемый хакерами. Издание Bleeping Computer рассказывает, что пейлоад собирал множество данных из самых разных приложений, включая: пароли из браузеров: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, Iridium, CocCoc и AVAST Browser; данные из других приложений: Mozilla Thunderbird, файлы сеанса Netsarang, контакты Windows Live Mail, пароли Filezilla, файл конфигурации ToDesk, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat; информацию о системе: данные о компьютере, список имен пользователей, информация о домене Windows. Также следует отметить, что всплеск эксплуатации Follina также фиксирует «Лаборатория Касперского». Сообщается, что большинство атак приходится на США, а также на Бразилию, Мексику и Россию. Патчи и критика Так как патча для Follina все еще нет, администраторы и пользователи могут блокировать атаки на CVE-2022-30190, отключив протокол MSDT, который злоумышленники используют для запуска дебагеров и выполнения кода в уязвимых системах. Также официально рекомендуется отключить предварительный просмотр файлов в «Проводнике» Windows, потому что атака возможна и таким способом. В отсутствии официального патча уже появился неофициальный, от компании 0patch. Напомню, что 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее. Неофициальные патчи представлены для Windows 11 v21H2, Windows 10 (от 1803 до 21H2), Windows 7 и Windows Server 2008 R2. Причем вместо рекомендованного Microsoft отключения MSDT специалисты 0patch добавили дополнительную очистку предоставленного пользователем пути, что тоже помогает избежать эксплуатации бага. «Обратите внимание: не имеет значения, какая версия Office у вас установлена и установлена ли вообще. Уязвимость также может использовать с помощью других векторов атак, — пишет сооснователь 0patch Митя Колсек. — Вот почему мы выпустили патч для Windows 7, где обработчик ms-msdt: URL вообще не зарегистрирован». Между тем, ИБ-эксперты уже начинают критиковать Microsoft за нерасторопность и отсутствие исправлений. «Небольшие команды безопасников в основном рассматривают небрежность Microsoft как признак того, что это “просто очередная уязвимость”, но это определенно не так, — говорит Джейк Уильямс, главный аналитик киберугроз в компании Scythe. — Непонятно, почему Microsoft продолжает преуменьшать значимость этой уязвимости, которая уже активно используется в реальных атаках. Это определенно не помогает командам безопасности».

запостил(а)

Наталия

Вернуться назад

Смотрите также

Свежий баг в Windows Print Spooler уже находится под атаками - «Новости»

Apple исправила 0-day уязвимость, затрагивающую iPhone, iPad и Mac - «Новости»

Хакеры эксплуатируют критическую RCE-уязвимость в GitLab - «Новости»

Microsoft исправила около 50 уязвимостей в своих продуктах - «Новости»

А что там на главной? )))

Комментарии )))

« Ноябрь 2024 »
Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30