Злоумышленники уже эксплуатируют свежий 0-day баг в Microsoft Office / взлом :: 0day :: кибератака :: microsoft office :: информационная безопасность

Злоумышленники уже эксплуатируют свежий 0-day баг в Microsoft Office

Эксперты предупредили, что китайские хакеры уже активно эксплуатируют уязвимость нулевого дня в Microsoft Office, известную под названием Follina, для удаленного выполнения вредоносного кода в уязвимых системах.

Напомню, что об обнаружении Follina стало известно на прошлой неделе, хотя первые исследователи обнаружили баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему. Теперь уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать через обычное открытие документа Word или предварительный просмотр в «Проводнике», применяя для выполнения вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).

Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее.

Ранее эксперты уже сообщали, что обнаружение Follina является весьма тревожным сигналом, так как уязвимость открывает новый вектор атак с использованием Microsoft Office. Дело в том, что баг работает без повышенных привилегий, позволяет обойти Windows Defender и не требует активации макросов для выполнения бинарников или скриптов.

Как теперь рассказывают специалисты компании Proofpoint, проблему Follina уже взяли на вооружение китайские «правительственные» хакеры из группы TA413, нацелив свои атаки на международное тибетское сообщество.

лоумышленники распространяют среди жертв ZIP-архивы, содержащие вредоносные документы Word, предназначенные для атак на CVE-2022-30190. Приманки замаскированы под послания Центральной тибетской администрации и используют домен tibet-gov.web[.]app.

Известный ИБ-исследователь MalwareHunterTeam тоже пишет, что обнаружил документы DOCX с именами файлов на китайском языке, которые используются для доставки вредоносных полезных нагрузок через домен http://coolrat[.]xyz, в том числе малвари для кражи паролей.

Так как патча для Follina пока нет, администраторы и пользователи могут блокировать атаки на CVE-2022-30190, отключив протокол MSDT URI, который злоумышленники используют для запуска дебагеров и выполнения кода в уязвимых системах. Также рекомендуется отключить предварительный просмотр файлов в «Проводнике» Windows, потому что атака возможна и таким способом.

Источник:

xakep.ru

Подробнее
информационная безопасность,кибератака,microsoft office,0day,взлом

Развернуть

Отличный комментарий!

Когда твой софт пишут низкооплачиваемые индусы, там и не такое можно найти.

Voise From02.06.202208:40ссылка

+11.2

Когда ты отказываешься признавать ошибку, то это уже первый шаг к провалу. Если по чесноку, то крупные компании начинают шевелиться только если кто-то из крупных клиентов несёт убытки, если убытки несёт сама компания или если небольшая группа людей начинает активно привлекать к проблеме внимание. К сожалению чаще всего это именно так и работает

veelzevul02.06.202208:46ссылка

+31.1

Комментарии 4602.06.202208:31ссылка32.2

Когда твой софт пишут низкооплачиваемые индусы, там и не такое можно найти.

Voise From 02.06.202208:40 ответить ссылка 11.2

veelzevul 02.06.202208:46 ответить ссылка ↑ 31.1

warrcan 02.06.202209:45 ответить ссылка ↑ 2.8

По опыту работы в одной крупной компании - 99% критикал-репортов об уязвимостях - это полная хуета в стиле "а вот если юзер отправит мне сообщение, я смогу его репостнуть, и тогда сообщение прочитает тот, кто не имел к нему изначального доступа!".

то есть либо люди не понимают, что считается уязвимостью, либо спамят чем-то явно не-проблемным, в надежде случайно поймать хоть какую-то плюшку по bugs-bounty программе.

так что пропустить что-то действительно критичное - реально. и я б не закидывал ms тапками сразу.

plflok 02.06.202210:09 ответить ссылка ↑ 10.4

Из статьи https://habr.com/ru/news/t/668798/

Microsoft рекомендует системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»).

Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.

Microsoft советует в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости нулевого дня CVE-2022-30190, но не для всех версий MS Office.

dimonst2008 02.06.202209:03 ответить ссылка 6.4

Линукс грядёт!

warrcan 02.06.202209:46 ответить ссылка ↑ 3.4

а если без сарказма - то тот же FreeOffice для 95% задач вполне достаточен, и не тормозит, как ОО или Либр.

tfik 02.06.202209:55 ответить ссылка ↑ -1.8

Если бес сарказма - то коль вам его хватает на 95 процентов, то вы и в блокноте работать можете. А те кто все же пользуется для работы, лучше офиса не найти

omgster 02.06.202210:33 ответить ссылка ↑ 1.1

"бес сарказма" хмм.. прям готовый ник или персонаж игры))

случайный пост 02.06.202211:19 ответить ссылка ↑ 2.7

вспомнился давний срач по поводу лучшей IDE для верстки html...

Консенсус был в том, что, какая бы крутячья ИДЕ ни была, все равно отладка будет проходить в блокноте. Так или иначе.

Такшта ваша ирония "и в блокноте работать сможете" - мимо. Да, смогу. И ВИЗИВИГ-финтифлюхи офиса мне не нужны, а нужна переносимость между компами, на которых - от Вынь-11 до какого-то неудобьназываемого Линуха расейского производства, на котором офис ну при всем желании не покряхтит.

tfik 02.06.202213:25 ответить ссылка ↑ -0.5

Отладка HTML в блокноте...
Спасибо, мозг взорван

Psilon 02.06.202215:13 ответить ссылка ↑ 1.0

Рендеринг вручную на тетрадном листочке.

MBRUS 02.06.202219:10 ответить ссылка ↑ 0.0

Win7pro Sp2 нет такого в реестре.

Denton2 02.06.202212:13 ответить ссылка ↑ -1.2

Sp2 нет такого в Win7.

Lolwhatma Gandhi 02.06.202222:46 ответить ссылка ↑ 0.0

Наверное тебя не устроила буковка p которая должна быть большой? Или ты в принципе не знаешь о существовании сервиспака 2 - ну тогда вот ссыль, ознакомляйся что ле...
https://support.microsoft.com/ru-ru/topic/%D1%81%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F-%D0%BE-%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B5-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-2-sp2-%D0%B4%D0%BB%D1%8F-windows-vista-%D0%B8-%D0%BE-%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B5-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-2-sp2-%D0%B4%D0%BB%D1%8F-windows-server-2008-7ddc6fc7-5809-45f9-4003-c351c5a2224e

Denton2 02.06.202223:05 ответить ссылка ↑ -1.2

> Сведения о пакете обновления 2 (SP2) для Windows Vista
> и о пакете обновления 2 (SP2) для Windows Server 2008
> Win7pro
Кажется, ты в принципе не знаешь, что ни дриста, ни сервер 2008 (даже R2) не являются топором.

Lolwhatma Gandhi 02.06.202223:24 ответить ссылка ↑ 0.0

Блин, хотел написать про SP3, но видать это всё фантомные воспоминания от XP. И ссылку вставил не посмотрев... И сижу я на SP1 оказывается. Вобщем признаю свою ошибку.

Просмотр основных сведений о вашем компьютере
Издание Windows------------------------------
«
Windows 7 Профессиональная
© Корпорация Майкрософт (Microsoft Согр.), 2009. Все праеа защищены.
Service Pack 1
Получить доступ к дополнительным фyнкциям^ установив новый выпуск Windows 7

Denton2 03.06.202201:16 ответить ссылка ↑ 1.2

Что ж, бывает.
Я, помнится, как-то году в 2008 или 2009 с одного торрент-трекера скачал "Windows 7 SP2", никаких васянов в названии не упоминалось. Оказалось, что это всё-таки сборка от васяна на основе бета-версии. Потому что в 2010-м она стала вырубать комп ровно через два часа после включения - это такая намеренная фича бета-версии.

Lolwhatma Gandhi 03.06.202209:42 ответить ссылка ↑ 0.0

не нашёл такого в реестре.
не нашёл таких настроек в дефендере. где они?

krako 02.06.202214:00 ответить ссылка ↑ 0.1

-Windows 7 и новее

Пфф, поставил XP ZVER Vasyan Edition и не паришься.

Hentaicheg 02.06.202209:34 ответить ссылка 16.5

тут давеча кто-то показывал ноут 1989 года с Досом...

tfik 02.06.202209:56 ответить ссылка ↑ 0.2

А нахуй вообще нужен этот протокол и собсно утилита MSDT?

Продавец_Кед 02.06.202209:41 ответить ссылка 0.8

Кажись какая-то корпоративаня хуедрыга с онлайн правками и общим доступом.

warrcan 02.06.202209:47 ответить ссылка ↑ 1.2

MSDT - улитка автоматом запускающаяся при крахе приложения и анализирующая его ядро и скрипт. То самое "приложение работает некорректно - выполнить поиск решения проблемы?" Т.е. она запускается под всеми юзерами с привилегией админа, ибо проблема должна быть устранена, только выполняемый код который анализируется на ошибку содержит зловред.

Картинк 02.06.202210:14 ответить ссылка ↑ -0.3

Тоесть, это та самая штука, которая отсылает майкам неизвестную инфу, вплоть до телеметрии и абсолютно бесполезна для юзера, а теперь оказалось, что и вредна.

Продавец_Кед 02.06.202213:32 ответить ссылка ↑ 0.4

Отсылать или нет - выбирешь сам, а запускается она автоматом при сбое. Вредна она на столько-же, на сколько и любая OS.

Картинк 02.06.202214:46 ответить ссылка ↑ 0.1

Небось ещё и офис не должен быть установлен. Хватит того, что с системой идёт.

turbo2001 02.06.202209:45 ответить ссылка -0.7

0 day vulnerability например?

Fukse 02.06.202210:13 ответить ссылка ↑ 0.2

В статье -1 day vulnerability. Открывать пришедший по почте вордовский документ - неужели на это кто-то все еще ведется?

Phrynohyas 02.06.202210:18 ответить ссылка ↑ -0.4

в котором люди не открываю!
незнакомых адресов

1
1 11
- . ¿А
1 з —. * »» « У дгоч .*
ff! 1 1
ff
— ж
t - »'Xj

Meffol 02.06.202210:26 ответить ссылка ↑ 12.3

Ну а представь, что тебе на почту приходит в день 20 вордовских документов от разных контрагентов со всякими заявками, правками договоров и курсовыми собаки. Приправить щепоткой социального хакинга.

Cordum 02.06.202211:20 ответить ссылка ↑ 10.5

Например кто-то, кому нужны все возможности макросов Экселя (да, есть извращенцы, которым на этих макросах чуть ли не учетные системы строят). Или подключение к OLAP кубам (внезапно Эксель очень пелох в этой роли). Или кому надо чтобы при открытии сложного текстового документа его не расколбашивало в сопли.
Собственно, если очень недешевый офис все еще продается - значит кто-то им пользуется.

Phrynohyas 02.06.202210:17 ответить ссылка ↑ 2.5

"к OLAP кубам (внезапно Эксель очень пелох в этой роли)"

неплох, пока от открытых кубов его не распидорашивает в памяти до 3.5 ГБ

illujanka 02.06.202212:08 ответить ссылка ↑ 0.0

А в этот момент можно начать переучивать пользователей на Power BI.
Потому что уже пройден момент "нахуй нам не нужон этот ваш интернет, и шо такое эти кубы ваши вообще?"

Phrynohyas 02.06.202212:31 ответить ссылка ↑ 0.3

Я знаю, но исторически так сложилось, что ГК будет плакать и жевать эксель с кубами еще лет 10 (

illujanka 02.06.202212:34 ответить ссылка ↑ 0.0

Офис 2021 вроде как x64. Его тоже расколбашивает на 3 гигабайтах?

Phrynohyas 02.06.202212:38 ответить ссылка ↑ 0.3

Именно его и колбасит. 32 разрядныйэ начинает где то на 1.8

illujanka 02.06.202219:23 ответить ссылка ↑ 0.0

Первое, что пришло на ум - подкладывать картинку под текст. Думаю это не единственное отличие. В экселе есть куча формул таких, которых нет больше нигде.

Chainsaw 02.06.202210:19 ответить ссылка ↑ 2.1

Если ты ставишь вопрос так, то ты даже толком с Гугл доками не работал, не то что с офисом.

Отличеэие огромное между ними увы.

omgster 02.06.202210:35 ответить ссылка ↑ 1.7

Самое смешное, что у майкрософта тоже давно есть облачный офис.

NukeIron 02.06.202211:13 ответить ссылка ↑ 0.3

А потом все спрашивают почему ты не обновляешь систему сразу после выхода новой версии, ВОТ ПОЧЕМУ, простите нагорело.