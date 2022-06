Du vil også være interessert

Folina «null dag» får fart. Denne feilen, rapportert i slutten av mai, lar deg bruke Word-dokument til å utføre PowerShell-kommandoer under referanse CVE-2022-30190. Makroer er deaktivert.

Nå sprer en gruppe hackere, kjent som TA570, ordet ved å utnytte denne feilen Bank Trojan Qbot. Den spesialiserer seg på å stjele person- og bankdata. Ofrene mottar en e-post med filen HTML Som en lenke. Den laster ned en ZIP-komprimert mappe som inneholder et diskbilde (IMG-fil), som til slutt inkluderer Word-filen, DLL-filen og snarveien. Det er det Word-dokument Den installerer Qbot malware.

Angrep på regjeringen og tibetanske immigranter

Dette er ikke det eneste angrepet som utnytter Folina-mangel. Forrige uke oppdaget ProPoint phishing-angrep rettet mot flere regjeringsmedlemmer i Europa og USA. De mottok en e-post som lovet at installasjonen av skadelig programvare som stjeler data på datamaskiner ville bli forhøyet med en vedlagt RTF-fil. Nettlesere Og Programvare Sender melding. I følge bevispunktet, laget kinesisk hacker TA413 APT sies også å bruke defekten til å målrette tibetanske immigranter på lignende måter.

For tiden, Microsoft Ikke utgitt en patch ennå. På siden hansMicrosoft anbefaler å deaktivere MSDT-protokollen for å forhindre at verktøyet starter. Diagnose Brukt i Folina split. For dette indikerer selskapet at du først må lagre og deretter slette hele nøkkelen HKEY_CLASSES_ROOT \ ms-msdt I Windows-registret.

En ny feil har blitt oppdaget i Microsoft Word slik at hackere kan ta kontroll Datamaskin Med enkel dokumentasjon uten bruk av makroer. Takket være File Explorers forhåndsvisning, kalt Folina, er brukerens manglende evne til å starte koden uten å måtte åpne dokumentet mulig.

Artikkel avEdward PackLagt ut 01.06.2022

Nesten alle har hørt at makroer er farlige i Microsoft Word. Tross alt blokkerer programvaren dem som standard og viser et advarselsbanner. Dette er imidlertid ikke den eneste måten å bruke programvaren på Påvirker en datamaskin. På TwitterBruker @nao_sec delt ondsinnet kode oppdaget I et dokument Ord.

Denne koden bruker en defekt kalt Folina. Er klassifisert som Null dag «Med andre ord, det har allerede blitt utnyttet av pirater og har ikke blitt oppdatert (Microsoft har» null dager «på å frigi en patch». Han ville ha sendt det aktuelle dokumentet til nettstedet for å bekrefte at det ble funnet.

Skjult kode i base 64

Koden bruker programvarens eksterne malfunksjon for å laste en HTML-fil Ansatt. Den kaprer Microsoft Support Discovery Tool (MSDT) og laster filen og utfører PowerShell-kommandoer. Dette også Makroer er deaktivert. Forfatteren av koden brukte den samme teknikken som ble funnet På noen nettsider For å skjule problematiske kommandoer: de endres til base 64 og dekodes ved kjøring.

Siden den andre filen ikke lenger er tilgjengelig, vet ikke forskerne hva forfatterens eksakte hensikt er. Men fra det øyeblikket du utfører PowerShell-kommandoene, tar den full kontroll over systemet og angriper andre datamaskiner. Lokalt nettverk.

Folina er spesielt kompleks. Som standard åpnes Word .docx-filer i en beskyttet visning. Koden aktiveres kun hvis du klikker «Aktiver endring». Men hvis den er i .rtf-format, vil ikke denne beskyttelsen være aktivert. I dette tilfellet er det også nok å velge det i File Explorer, uten å åpne det, for at koden skal kjøres.

Presentasjon om hvordan Follina fungerer i den oppdaterte versjonen av Office 2021. © Didier Stevens

Microsoft har allerede avvist en uttalelse i april

Koden fungerer på alle versjoner Microsoft Office I hvert fall siden 2013, med alle oppdateringer, inkludert Office 2021. Det viser seg at problemet allerede er rapportert Microsoft I april Shadow Chaser Group, en gruppe studenter som jager divisjoner. En mann som heter John Microsoft Security Response Center (MSRC), fornøyd med at den ikke gjorde det Sikkerhetsproblem, Og den innsendte modellen fungerte ikke på datamaskinen hans. Microsoft ser ut til å ha ombestemt seg siden 30. mai, da selskapet registrerte en defekt under referanse CVE-2022-30190.

Foreløpig er det ingen enkel måte å beskytte deg mot dette angrepet på. Mens du venter på oppdateringen, er den vanligste løsningen å redigere registeret for å forhindre at diagnoseverktøyet starter i Word. For å gjøre dette må vi skape verdier Aktiver deteksjon Innsiden HKLM \ Software \ Policies \ Microsoft \ Windows \ ScriptedDiagnostics Og behold den .

Men pass på, denne løsningen er forbeholdt avanserte brukere. Hvis det oppstår en feil ved endring av registeret, kan det skade systemet og forhindre at systemet starter.