Vulnerabilidade do Microsoft Follina no Home windows pode ser explorada através do Place of work 365

Pesquisadores alertaram por último fim de semana que uma falha na ferramenta de diagnóstico de suporte da Microsoft pode ser explorada usando documentos maliciosos do Phrase para controlar remotamente os dispositivos de destino. A Microsoft divulgou orientações na segunda-feira sobre a falha, incluindo medidas temporárias de defesa. Na terça-feira, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos havia alertado que “um invasor remoto não autenticado poderia explorar essa vulnerabilidade”, conhecida como Follina, “para assumir o controle de um sistema afetado”. Mas a Microsoft não disse quando ou se um patch está chegando para a vulnerabilidade, embora a empresa reconheça que a falha estava sendo ativamente explorada por invasores em estado selvagem. E a empresa ainda não se pronunciou sobre a possibilidade de um patch quando questionada pela WIRED na quinta-feira.

A vulnerabilidade do Follina em uma ferramenta de suporte do Home windows pode ser facilmente explorada por um documento do Phrase especialmente criado. A isca é equipada com um modelo remoto que pode recuperar um arquivo HTML malicioso e, finalmente, permitir que um invasor execute comandos do Powershell no Home windows. Os pesquisadores observam que descreveriam o worm como um “dia 0” ou vulnerabilidade anteriormente desconhecida, mas a Microsoft não o classificou como tal.

“Depois que o conhecimento público da exploração cresceu, começamos a ver uma resposta imediata de vários invasores começando a usá-la”, diz Tom Hegel, pesquisador sênior de ameaças da empresa de segurança SentinelOne. Ele acrescenta que, embora os invasores tenham sido observados principalmente explorando a falha por meio de documentos maliciosos até agora, os pesquisadores também descobriram outros métodos, incluindo a manipulação de conteúdo HTML no tráfego de rede.

“Embora a abordagem de documentos maliciosos seja altamente preocupante, os métodos menos documentados pelos quais a exploração pode ser acionada são preocupantes até serem corrigidos”, diz Hegel. “European esperaria que agentes de ameaças oportunistas e direcionados usassem essa vulnerabilidade de várias maneiras quando a opção estivesse disponível – é muito fácil.”

A vulnerabilidade está presente em todas as versões com suporte do Home windows e pode ser explorada por meio do Microsoft Place of work 365, Place of work 2013 a 2019, Place of work 2021 e Place of work ProPlus. A important mitigação proposta pela Microsoft envolve desabilitar um protocolo específico na Ferramenta de diagnóstico de suporte e usar o Microsoft Defender Antivirus para monitorar e bloquear a exploração.

Mas os respondentes de incidentes dizem que são necessárias mais ações, dada a facilidade de explorar a vulnerabilidade e quanta atividade maliciosa está sendo detectada.

“Estamos vendo uma variedade de atores de APT incorporarem essa técnica em cadeias de infecção mais longas que utilizam a vulnerabilidade Follina”, diz Michael Raggi, pesquisador de ameaças da empresa de segurança Proofpoint, que se concentra em hackers apoiados pelo governo chinês. Em 30 de maio de 2022, observamos o ator chinês do APT TA413 enviar uma URL maliciosa em um email que representava a Administração Central Tibetana. Diferentes atores estão inserindo os arquivos relacionados ao Follina em diferentes estágios de sua cadeia de infecção, dependendo do package de ferramentas pré-existente e das táticas implantadas.”

Os pesquisadores também visto documentos maliciosos explorando Follina com alvos na Rússia, Índia, Filipinas, Bielorrússia e Nepal. Um pesquisador de graduação notou a falha pela primeira vez em agosto de 2020, mas foi relatada pela primeira vez à Microsoft em 21 de abril. recurso de documento que a Microsoft trabalhou para controlar.

“A Proofpoint identificou uma variedade de atores que incorporam a vulnerabilidade Follina em campanhas de phishing”, diz Sherrod DeGrippo, vice-presidente de pesquisa de ameaças da Proofpoint.

Com toda essa exploração no mundo actual, porém, a questão é se a orientação que a Microsoft publicou até agora é adequada e proporcional ao risco.

“As equipes de segurança podem ver a abordagem indiferente da Microsoft como um sinal de que esta é ‘apenas mais uma vulnerabilidade’, o que certamente não é”, diz Jake Williams, diretor de inteligência de ameaças cibernéticas da empresa de segurança Scythe. “Não está claro por que a Microsoft continua minimizando essa vulnerabilidade, especialmente enquanto ela está sendo explorada ativamente na natureza.”