Một tác nhân đe dọa dai dẳng nâng cao (APT) phù hợp với lợi ích của nhà nước Trung Quốc đã được quan sát thấy đã vũ khí hóa lỗ hổng zero-day mới trong Microsoft Office để thực thi mã trên các hệ thống bị ảnh hưởng.
“TA413 CN APT được phát hiện [in-the-wild] khai thác Follina zero-day bằng cách sử dụng các URL để cung cấp các kho lưu trữ ZIP chứa Tài liệu Word sử dụng kỹ thuật này “, công ty bảo mật doanh nghiệp Proofpoint cho biết trong một tweet.
“Các chiến dịch mạo danh ‘Bàn trao quyền cho phụ nữ' của Cơ quan quản lý Trung ương Tây Tạng và sử dụng tên miền tibet-gov.web[.]ứng dụng.”
TA413 được biết đến nhiều nhất với các chiến dịch nhằm vào cộng đồng người Tây Tạng để cung cấp các thiết bị cấy ghép như Exile RAT và Sepulcher cũng như một tiện ích mở rộng trình duyệt Firefox giả mạo có tên là FriarFox.
Lỗ hổng bảo mật mức độ nghiêm trọng cao, được đặt tên là Follina và được theo dõi là CVE-2022-30190 (điểm CVSS: 7,8), liên quan đến một trường hợp thực thi mã từ xa lạm dụng lược đồ URI giao thức “ms-msdt:” để thực thi mã tùy ý.
Cụ thể, cuộc tấn công khiến các tác nhân đe dọa có thể phá vỡ các biện pháp bảo vệ ở Chế độ xem được bảo vệ đối với các tệp đáng ngờ bằng cách chỉ cần thay đổi tài liệu thành tệp Định dạng Văn bản Đa dạng thức (RTF), do đó cho phép chạy mã được chèn mà thậm chí không cần mở tài liệu qua Ngăn Xem trước trong Windows File Explorer.
Mặc dù lỗi đã thu hút được sự chú ý rộng rãi vào tuần trước, nhưng bằng chứng cho thấy việc khai thác tích cực lỗ hổng công cụ chẩn đoán trong các cuộc tấn công trong thế giới thực nhắm vào người dùng Nga hơn một tháng trước vào ngày 12 tháng 4 năm 2022, khi nó được tiết lộ cho Microsoft.
Tuy nhiên, công ty không coi đây là vấn đề bảo mật và đã đóng báo cáo gửi lỗ hổng bảo mật, với lý do tiện ích MSDT yêu cầu mã khóa do kỹ thuật viên hỗ trợ cung cấp trước khi nó có thể thực thi tải trọng.
Lỗ hổng bảo mật tồn tại trong tất cả các phiên bản Windows hiện được hỗ trợ và có thể bị khai thác thông qua các phiên bản Microsoft Office Office 2013 thông qua các phiên bản Office 21 và Office Professional Plus.
“Cuộc tấn công thanh lịch này được thiết kế để vượt qua các sản phẩm bảo mật và bay theo radar bằng cách tận dụng tính năng mẫu từ xa của Microsoft Office và giao thức ms-msdt để thực thi mã độc hại mà không cần đến macro”, Jerome Segura của Malwarebytes lưu ý.
Mặc dù không có bản vá chính thức nào tại thời điểm này, nhưng Microsoft đã khuyến nghị vô hiệu hóa giao thức URL MSDT để ngăn chặn vectơ tấn công. Ngoài ra, bạn nên tắt Ngăn Xem trước trong File Explorer.
Nikolas Cemerikic của Immersive Labs cho biết: “Điều làm cho ‘Follina' nổi bật là cách khai thác này không tận dụng được các macro của Office và do đó, nó hoạt động ngay cả trong những môi trường mà macro đã bị vô hiệu hóa hoàn toàn”.
“Tất cả những gì cần thiết để khai thác có hiệu lực là người dùng có thể mở và xem tài liệu Word hoặc xem bản xem trước của tài liệu bằng Windows Explorer Preview Pane. Vì sau này không yêu cầu Word khởi chạy đầy đủ, điều này hiệu quả trở thành một cuộc tấn công bằng không nhấp chuột. “
.
