Ett aktivt utnyttjat Microsoft 0-dagarsfel har fortfarande ingen patch

Ett aktivt utnyttjat Microsoft 0-dagarsfel har fortfarande ingen patch

mturhanlar | Getty bilder

Forskare varnade förra helgen för att en fel i Microsofts Support Diagnostic Tool kan utnyttjas med skadliga Word-dokument för att ta kontroll över målenheter på distans. Microsoft släppt vägledning på måndag, inklusive tillfälliga försvarsåtgärder. På tisdagen hade USA:s Cybersecurity and Infrastructure Security Agency varnade att “en fjärransluten, oautentiserad angripare kan utnyttja denna sårbarhet”, känd som Follina, “för att ta kontroll över ett påverkat system.” Men Microsoft skulle inte säga när eller om en patch kommer för sårbarheten, även om företaget erkände att felet aktivt utnyttjades av angripare i det vilda. Och företaget hade fortfarande ingen kommentar om möjligheten till en patch när WIRED frågade det.

Follina-sårbarheten i ett Windows-stödverktyg kan enkelt utnyttjas av ett speciellt skapat Word-dokument. Locket är utrustat med en fjärrmall som kan hämta en skadlig HTML-fil och i slutändan tillåta en angripare att köra Powershell-kommandon inom Windows. Forskare noterar att de skulle beskriva felet som en “nolldag” eller tidigare okänd sårbarhet, men Microsoft har inte klassificerat det som en sådan.

“Efter att allmänhetens kunskap om exploateringen växte började vi se ett omedelbart svar från en mängd olika angripare som började använda det”, säger Tom Hegel, senior hotforskare på säkerhetsföretaget SentinelOne. Han tillägger att även om angripare hittills främst har observerats utnyttja bristen genom skadliga dokument, har forskare upptäckt andra metoder också, inklusive manipulation av HTML-innehåll i nätverkstrafik.

“Medan tillvägagångssättet med skadliga dokument är mycket oroande, är de mindre dokumenterade metoderna som utnyttjar kan utlösas bekymmersamma tills de är lappade”, säger Hegel. “Jag förväntar mig att opportunistiska och riktade hotaktörer använder den här sårbarheten på en mängd olika sätt när alternativet är tillgängligt – det är alldeles för enkelt.”

Sårbarheten finns i alla versioner av Windows som stöds och kan utnyttjas via Microsoft Office 365, Office 2013 till 2019, Office 2021 och Office ProPlus. Microsofts främsta föreslagna begränsning innebär att inaktivera ett specifikt protokoll i Support Diagnostic Tool och använda Microsoft Defender Antivirus för att övervaka och blockera exploatering.

Men incidentsvarare säger att mer åtgärder behövs, med tanke på hur lätt det är att utnyttja sårbarheten och hur mycket skadlig aktivitet som upptäcks.

“Vi ser en mängd olika APT-aktörer införliva den här tekniken i längre infektionskedjor som använder Follinas sårbarhet”, säger Michael Raggi, en personalhotforskare på säkerhetsföretaget Proofpoint som fokuserar på kinesiska regeringsstödda hackare. “Till exempel på Den 30 maj 2022 såg vi den kinesiska APT-skådespelaren TA413 skicka en skadlig URL i ett e-postmeddelande som efterliknade den centrala tibetanska administrationen. Olika aktörer lägger in de Follina-relaterade filerna i olika stadier av sin infektionskedja, beroende på deras befintliga verktygslåda och utplacerade taktik.”

Forskare har också sett skadliga dokument utnyttjar Follina med mål i Ryssland, Indien, Filippinerna, Vitryssland och Nepal. En grundutbildning forskare först upptäckte felet i augusti 2020men det rapporterades först till Microsoft den 21 april. Forskare noterade också att Follina-hack är särskilt användbara för angripare eftersom de kan härröra från skadliga dokument utan att förlita sig på makron, den mycket missbrukade Office-dokumentfunktionen som Microsoft har arbetat för att tygla.

“Proofpoint har identifierat en mängd olika aktörer som införlivar Follina-sårbarheten i nätfiskekampanjer”, säger Sherrod DeGrippo, Proofpoints vice vd för hotforskning.

Med all denna verkliga exploatering är frågan om den vägledning som Microsoft har publicerat hittills är adekvat och proportionell mot risken.

“Säkerhetsteam skulle kunna se Microsofts nonchalanta tillvägagångssätt som ett tecken på att det här “bara är en annan sårbarhet”, vilket det absolut inte är, säger Jake Williams, chef för cyberhotsintelligens på säkerhetsföretaget Scythe. “Det är inte klart varför Microsoft fortsätter att tona ned den här sårbarheten, särskilt när den aktivt utnyttjas i det vilda.”

Denna berättelse dök ursprungligen upp på wired.com.


#Ett #aktivt #utnyttjat #Microsoft #0dagarsfel #har #fortfarande #ingen #patch

Leave a Comment

Your email address will not be published.