Los piratas informáticos vinculados a China están explotando una nueva vulnerabilidad en Microsoft Office

Los piratas informáticos vinculados a China están explotando una nueva vulnerabilidad en Microsoft Office

Una vulnerabilidad recién descubierta en Microsoft Place of business ya está siendo explotada por piratas informáticos vinculados al gobierno chino, según investigación de análisis de amenazas de los angeles empresa de seguridad Proofpoint.

Los detalles compartidos por Proofpoint en Twitter sugieren que un grupo de piratas informáticos denominado TA413 estaba utilizando los angeles vulnerabilidad (llamada “Follina” por los investigadores) en documentos de Phrase maliciosos supuestamente enviados desde los angeles Administración Central Tibetana, el gobierno tibetano en el exilio con sede en Dharamsala, India. El grupo TA413 es un APT, o actor de “amenaza persistente avanzada”, que se cree que está vinculado al gobierno chino y ha previamente se ha observado apuntar a la comunidad de exiliados tibetanos.

En basic, los piratas informáticos chinos tienen un historial de uso de fallas de seguridad de device para atacar a los tibetanos. A reporte publicado por Citizen Lab en 2019 documentó una amplia focalización de figuras políticas tibetanas con device espía, incluso a través de exploits de navegador de Android y enlaces maliciosos enviados a través de WhatsApp. Las extensiones del navegador también han sido armadas para este propósito, con análisis previos de Proofpoint descubriendo el uso de un complemento malicioso de Firefox para espiar a los activistas tibetanos.

L. a. vulnerabilidad de Microsoft Phrase comenzó a recibir atención generalizada el 27 de mayo, cuando un grupo de investigación de seguridad conocido como Nao Sec recurrió a Twitter para discutir una muestra enviado al servicio de escaneo de malware en línea VirusTotal. El tweet de Nao Sec marcó que el código malicioso se entregó a través de documentos de Microsoft Phrase, que finalmente se usaron para ejecutar comandos a través de PowerShell, una poderosa herramienta de administración de sistemas para Home windows.

en un entrada en el blog publicado el 29 de mayo, el investigador Kevin Beaumont compartió más detalles de los angeles vulnerabilidad. Según el análisis de Beaumont, los angeles vulnerabilidad permitía que un documento de Phrase creado con fines malintencionados cargara archivos HTML desde un servidor internet remoto y luego ejecutara comandos de PowerShell secuestrando los angeles Herramienta de diagnóstico de soporte de Microsoft (MSDT), un programa que generalmente recopila información sobre bloqueos y otros problemas con las aplicaciones de Microsoft.

Microsoft tiene ahora reconoció la vulnerabilidadtitulado oficialmente CVE-2022-30190, aunque hay informes que los intentos anteriores de notificar a Microsoft sobre el mismo error fueron descartados.

De acuerdo a Blog de respuesta de seguridad de Microsoft, un atacante capaz de aprovechar los angeles vulnerabilidad podría instalar programas, acceder, modificar o eliminar datos e incluso crear nuevas cuentas de usuario en un sistema comprometido. Hasta el momento, Microsoft no ha emitido un parche oficial, pero ofreció medidas de mitigación para los angeles vulnerabilidad que implica deshabilitar manualmente los angeles función de carga de URL de los angeles herramienta MSDT.

Debido al uso generalizado de Microsoft Place of business y productos relacionados, los angeles superficie de ataque potencial para los angeles vulnerabilidad es grande. El análisis precise sugiere que Follina afecta a Place of business 2013, 2016, 2019, 2021, Place of business ProPlus y Place of business 365; y, a partir del martes, los angeles Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. instando a los administradores de sistemas a implementar la guía de Microsoft para mitigar los angeles explotación.