0
0
A vulnerabilidade do Windows zero-day identificada como Follina e CVE-2022-30190 está sendo explorada em um número crescente de ataques, inclusive por um grupo chinês APT.
A existência da falha, que pode ser explorada para execução remota de código, veio à tona em 27 de maio, quando um documento malicioso explorando-o foi visto na natureza. A vulnerabilidade foi apelidada de Follina pelo pesquisador Kevin Beaumont, um dos primeiros membros da comunidade de cibersegurança a analisar a exploração.
A falha de segurança está relacionada à Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT), com a exploração sendo acionada quando o usuário-alvo abre um documento especialmente elaborado.
Embora um patch ainda não tenha sido lançado, a Microsoft observou que o Protected View, um recurso projetado para bloquear esses tipos de ataques, deve proteger os usuários. No entanto, os pesquisadores determinaram que se o invasor entregar a exploração como um arquivo RTF, a exploração é acionada quando uma visualização do arquivo é visualizada no Explorer e o Protected View não entra em ação.
Huntress alertou em um post no blog que os atores de ameaças podem explorar a falha para “elevar seus próprios privilégios e potencialmente obter acesso ao “modo Deus” ao ambiente afetado”.
A Microsoft sabe da vulnerabilidade desde abril, quando foi notificada por um membro do Shadow Chaser Group, uma equipe de pesquisa focada na caça e análise do APT.
O pesquisador que informou a Microsoft disse que a gigante da tecnologia inicialmente classificou como “não uma questão relacionada à segurança”, apesar de ter sido avisada de que uma amostra explorando-a havia sido vista na natureza. Depois que um pesquisador diferente relatou ter visto um documento explorando a vulnerabilidade em 27 de maio, a Microsoft atribuiu-lhe um CVE, liberou orientação de mitigação e confirmou que é uma vulnerabilidade de zero-day ativamente explorada.
A exploração funciona contra o Office Pro Plus, Office 2013, Office 2016, Office 2019 e Office 2021, mas algumas evidências sugerem que a Microsoft pode ter tentado resolver o problema antes de sua existência ser tornada pública.
Um número crescente de arquivos explorando a vulnerabilidade follina foram encontrados na natureza. A exploração parece ter começado em abril, com usuários na Índia e na Rússia sendo alvo de ataques que alavancam vários temas, incluindo pedidos de entrevista e extorsão.
Proofpoint informou na terça-feira que um ator de ameaças rastreado como TA413, que anteriormente estava ligado à China, explorou a vulnerabilidade em seus ataques à comunidade tibetana. A TA413 tem como alvo o Tibete há anos e os ataques envolvendo o dia zero follina usam a “Mesa de Empoderamento das Mulheres” da Administração Central Tibetana como uma isca.
O Instituto SANS também descobriu um documento explorando o CVE-2022-30190 para fornecer malware. O nome do arquivo está escrito em chinês e se traduz em “Sala de telefone celular para receber pedidos – cotação do canal – o menor preço de toda a rede.”
Os patches oficiais não estão disponíveis, mas existem soluções e mitigações, tanto da Microsoft quanto da comunidade de cibersegurança. As empresas de segurança atualizaram seus produtos para detectar ataques, mas à medida que mais informações e explorações poc se tornam disponíveis, provavelmente haverá mais tentativas de exploração.
A Agência de Segurança cibernética e segurança de infraestrutura dos EUA (CISA) está aconselhando as organizações a revisar a orientação da Microsoft.
Em seu post no blog sobre Follina, Beaumont apontou que houve vários eventos que levaram a esse momento nos últimos dois anos. Pesquisas descrevendo como o MSDT pode ser abusado para execução de códigos foram publicadas em agosto de 2020 e março de 2022. Além disso, em 2021, a Microsoft corrigiu furtivamente uma vulnerabilidade semelhante em Equipes.
FONTE: SECURITYWEEK