De acordo com Bleeping Computer, há uma vulnerabilidade contínua no Windows que a Microsoft corrigiu recentemente. Em 30 de maio, a Microsoft sugeriu algumas soluções alternativas para resolver o problema. No entanto, as atualizações do Windows 10 KB5014699 e do Windows 11 KB5014697 resolverão tudo automaticamente para os usuários, tornando-as altamente urgentes para todos os usuários.
“A atualização para esta vulnerabilidade está nas atualizações cumulativas do Windows de junho de 2022”, Microsoft diz. “A Microsoft recomenda fortemente que os clientes instalem as atualizações para ficarem totalmente protegidos contra a vulnerabilidade. Os clientes cujos sistemas estão configurados para receber atualizações automáticas não precisam tomar nenhuma outra ação.”
Bleeping Computer diz que a falha de segurança chamada Follina rastreada como CVE-2022-30190 cobre versões do Windows que ainda estão recebendo segurança atualizações, incluindo Windows 7+ e Server 2008+. Ele está sendo explorado por hackers para obter o controle dos computadores de um usuário executando comandos maliciosos do PowerShell por meio da Microsoft Support Diagnostic Tool (MSDT), conforme descrito pela equipe independente de pesquisa de segurança cibernética nao_sec. Isso significa que os ataques de Execução de Código Arbitrário (ACE) podem ocorrer simplesmente visualizando ou abrindo um documento malicioso do Microsoft Word. Curiosamente, o pesquisador de segurança CrazymanArmy disse à equipe de segurança da Microsoft sobre o dia zero em abril, mas a empresa simplesmente dispensou o relatório enviado, dizendo que”não é um problema relacionado à segurança”.
TA413 CN APT viu ITW explorando o #Follina #0Day usando URLs para entregar arquivos Zip que contêm documentos do Word que usam a técnica. As campanhas se passam pelo”Women Empowerments Desk”da Administração Central Tibetana e usam o domínio tibet-gov.web[.]app https://t.co/4FA9Vzoqu4
Em um relatório da empresa de pesquisa de segurança A Proofpoint, um grupo ligado ao governo chinês chamado Chinese TA413 visava usuários tibetanos enviando-lhes documentos maliciosos. “O TA413 CN APT detectou a ITW explorando o #Follina #0Day usando URLs para entregar arquivos Zip que contêm documentos do Word que usam a técnica”, escreve a Proofpoint em um tweet. “As campanhas se passam pelo’Women Empowerments Desk’da Administração Central Tibetana e usam o domínio tibet-gov.web[.]app.”
Aparentemente, o referido grupo não é o único a explorar a vulnerabilidade. Outros maus atores independentes e relacionados ao Estado têm se aproveitado disso há algum tempo, incluindo um grupo que disfarçou um documento como um memorando de aumento salarial para enganar agências governamentais dos EUA e da UE. Outros incluem o afiliado TA570 Qbot que distribui malware Qbot e os primeiros ataques que foram vistos usando ameaças de extorsão e iscas como convite para entrevista na Rádio Sputnik.
Uma vez abertos, os documentos infectados enviados permitirão que hackers controlem o MDST e executem comandos, levando a instalações de programas não permitidas e acesso a dados de computador que os hackers podem visualizar, excluir ou alterar. Os atores também podem criar novas contas de usuário por meio do computador do usuário.
