[ad_1]
A Microsoft acaba de lançar sua atualização cumulativa de junho de 2022 para o Home windows, incluindo um patch para a temida vulnerabilidade Follina.
“A Microsoft recomenda fortemente que os clientes instalem as atualizações para estarem totalmente protegidos contra a vulnerabilidade. Os clientes cujos sistemas estão configurados para receber atualizações automáticas não precisam tomar nenhuma outra ação”, disse a Microsoft em seu comunicado.
Descoberta pelo especialista em segurança cibernética Kevin Beaumont e apelidada de “Follina”, a falha aproveita um utilitário do Home windows chamado msdt.exe, projetado para executar diferentes pacotes de solução de problemas no Home windows. O pesquisador descobriu que quando a vítima baixa um arquivo do Phrase como arma, ela nem precisa executá-lo, visualizá-lo no Home windows Explorer é suficiente para que a ferramenta seja abusada (embora tenha que ser um arquivo RTF).
Follina abusada na natureza
Ao abusar desse utilitário, os invasores podem informar ao endpoint de destino (abre em nova aba) para chamar um arquivo HTML, a partir de um URL remoto. Os invasores escolheram os formatos xml[.]com, provavelmente tentando se esconder atrás do domínio openxmlformats.org de aparência semelhante, embora legítimo, usado na maioria dos documentos do Phrase.
O arquivo HTML contém muito “lixo”, o que ofusca seu verdadeiro propósito – um script que baixa e executa uma carga útil.
A correção da Microsoft não obstruct que o Workplace carregue manipuladores de URI de protocolo do Home windows automaticamente e sem interação do usuário, mas bloqueia a injeção do PowerShell, tornando o ataque inútil.
Assim que foi descoberto, os pesquisadores começaram a identificar a falha sendo abusada na natureza. Entre seus primeiros adotantes, supostamente, estavam os atores de ameaças patrocinados pelo Estado chinês, montando ataques cibernéticos (abre em nova aba) contra a comunidade tibetana internacional.
“O TA413 CN APT detectou a ITW explorando o Follina 0Day usando URLs para entregar arquivos Zip que contêm documentos do Phrase que usam a técnica”, disseram pesquisadores de segurança cibernética da Proofpoint há duas semanas. A mesma empresa também descobriu que o Follina foi abusado por outro agente de ameaças, TA570, para distribuir o Qbot, enquanto o NCC Team descobriu que foi ainda mais abusado pelo Black Basta, que é um grupo de ransomware conhecido.
Através da: BleepingComputador (abre em nova aba)
[ad_2]
Fonte da Notícia: www.techradar.com
