Microsoft baru saja mendorong pembaruan kumulatif Juni 2022 untuk Windows, termasuk patch untuk kerentanan Follina yang ditakuti.
“Microsoft sangat menyarankan agar pelanggan menginstal pembaruan untuk sepenuhnya dilindungi dari kerentanan. Pelanggan yang sistemnya dikonfigurasi untuk menerima pembaruan otomatis tidak perlu mengambil tindakan lebih lanjut,” kata Microsoft dalam nasihatnya.
Ditemukan oleh pakar keamanan siber Kevin Beaumont, dan dijuluki “Follina”, kelemahan ini memanfaatkan utilitas Windows yang disebut msdt.exe, yang dirancang untuk menjalankan paket pemecah masalah yang berbeda di Windows. Peneliti menemukan bahwa ketika korban mengunduh file Word yang dipersenjatai, mereka bahkan tidak perlu menjalankannya, mempratinjaunya di Windows Explorer sudah cukup untuk alat tersebut disalahgunakan (meskipun harus file RTF).
Follina disalahgunakan di alam liar
Dengan menyalahgunakan utilitas ini, penyerang dapat memberi tahu titik akhir target (terbuka di tab baru) untuk memanggil file HTML, dari URL jarak jauh. Penyerang telah memilih format xml[.]com, mungkin mencoba bersembunyi di balik domain openxmlformats.org yang tampak serupa, meskipun sah, yang digunakan di sebagian besar dokumen Word.
File HTML menyimpan banyak “sampah”, yang mengaburkan tujuan sebenarnya – skrip yang mengunduh dan menjalankan muatan.
Perbaikan Microsoft tidak mencegah Office memuat penangan URI protokol Windows secara otomatis dan tanpa interaksi pengguna, tetapi ini memblokir injeksi PowerShell, sehingga membuat serangan tidak berguna.
Segera setelah ditemukan, para peneliti mulai melihat cacat itu disalahgunakan di alam liar. Di antara pengadopsinya yang paling awal, diduga, adalah aktor ancaman yang disponsori negara China, yang meningkatkan serangan siber (terbuka di tab baru) terhadap komunitas Tibet internasional.
“TA413 CN APT melihat ITW mengeksploitasi Follina 0Day menggunakan URL untuk mengirimkan Arsip Zip yang berisi Dokumen Word yang menggunakan teknik tersebut,” kata peneliti keamanan siber dari Proofpoint dua minggu lalu. Perusahaan yang sama juga menemukan Follina disalahgunakan oleh aktor ancaman lain, TA570, untuk mendistribusikan Qbot, sementara NCC Group menemukan bahwa itu disalahgunakan lebih lanjut oleh Black Basta, yang merupakan grup ransomware yang dikenal.
Melalui: BleepingComputer (terbuka di tab baru)
Posted By : pengeluaran hk
