Một tác nhân đe dọa dai dẳng nâng cao (APT) phù hợp với lợi ích của nhà nước Trung Quốc đã được quan sát thấy đang vũ khí hóa lỗ hổng zero-day mới trong Microsoft Office để thực thi mã trên các hệ thống bị ảnh hưởng.
“TA413 CN APT được phát hiện [in-the-wild] khai thác lỗ hổng Follina bằng cách sử dụng URL để phân phối các tệp lưu trữ ZIP chứa Tài liệu Word sử dụng kỹ thuật này,” công ty bảo mật doanh nghiệp Proofpoint nói trong một tweet.
“Các chiến dịch mạo danh ‘Bàn Trao quyền cho Phụ nữ’ của Chính quyền Trung ương Tây Tạng và sử dụng tên miền tibet-gov.web[.]ứng dụng.”
TA413 được biết đến nhiều nhất với các chiến dịch nhằm vào cộng đồng người Tây Tạng để cung cấp các thiết bị cấy ghép như Exile RAT và Sepulcher cũng như một tiện ích mở rộng trình duyệt Firefox lừa đảo có tên là FriarFox.
Lỗ hổng bảo mật nghiêm trọng cao, được đặt tên là Follina và được theo dõi là CVE-2022-30190 (điểm CVSS: 7,8), liên quan đến một trường hợp thực thi mã từ xa lạm dụng sơ đồ URI giao thức “ms-msdt:” để thực thi mã tùy ý.
Cụ thể, cuộc tấn công giúp các tác nhân đe dọa có thể phá vỡ các biện pháp bảo vệ Chế độ xem được bảo vệ đối với các tệp đáng ngờ bằng cách chỉ cần thay đổi tài liệu thành tệp Định dạng văn bản có định dạng (RTF), do đó cho phép chạy mã được đưa vào mà không cần mở tài liệu qua Ngăn xem trước trong Windows File Explorer.
Mặc dù lỗi này đã thu hút được sự chú ý rộng rãi vào tuần trước, nhưng bằng chứng chỉ ra việc khai thác tích cực lỗ hổng công cụ chẩn đoán trong các cuộc tấn công trong thế giới thực nhắm vào người dùng Nga hơn một tháng trước vào ngày 12 tháng 4 năm 2022, khi nó được tiết lộ cho Microsoft.
Tuy nhiên, công ty không coi đây là vấn đề bảo mật và đã đóng báo cáo đệ trình lỗ hổng, viện dẫn lý do rằng tiện ích MSDT yêu cầu mã khóa do kỹ thuật viên hỗ trợ cung cấp trước khi có thể thực thi tải trọng.
Lỗ hổng tồn tại trong tất cả các phiên bản Windows hiện được hỗ trợ và có thể bị khai thác thông qua các phiên bản Microsoft Office Office 2013 đến phiên bản Office 21 và Office Professional Plus.
“Cuộc tấn công tao nhã này được thiết kế để vượt qua các sản phẩm bảo mật và bay dưới tầm ngắm bằng cách tận dụng tính năng mẫu từ xa của Microsoft Office và giao thức ms-msdt để thực thi mã độc, tất cả đều không cần macro,” Jerome Segura của Malwarebytes lưu ý.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Mặc dù không có bản vá chính thức nào vào thời điểm này, nhưng Microsoft đã khuyến nghị vô hiệu hóa giao thức URL MSDT để ngăn chặn vectơ tấn công. Ngoài ra, nó đã được khuyên để tắt Ngăn xem trước trong File Explorer.
Nikolas Cemerikic của Immersive Labs cho biết: “Điều khiến ‘Follina’ trở nên nổi bật là việc khai thác này không tận dụng lợi thế của macro Office và do đó, nó hoạt động ngay cả trong môi trường mà macro đã bị vô hiệu hóa hoàn toàn”.
“Tất cả những gì cần thiết để khai thác có hiệu lực là người dùng mở và xem tài liệu Word hoặc xem bản xem trước của tài liệu bằng Windows Explorer Preview Pane. Vì phần sau không yêu cầu Word khởi chạy đầy đủ, nên điều này có hiệu quả trở thành một cuộc tấn công không nhấp chuột.”
