يستغل المتسللون المدعومون من الصين ثغرة أمنية غير مسبوقة في Microsoft Office تُعرف باسم Follina لتنفيذ تعليمات برمجية ضارة عن بُعد عبر أنظمة Windows.
الضعف شديد الخطورة – والذي يتم تعقبه على أنه. – يستخدم CVE-2022-30190 في الهجمات لتنفيذ أوامر PowerShell الضارة عبر أداة تشخيص Microsoft عند فتح أو معاينة مستندات Office المعدة خصيصًا.
يشير التحليل الحالي إلى أن Follina تؤثر على Office 2013 و 2016 و 2022 و 2022 و Office Pro Plus و Office 365.
يعمل الخطأ بدون امتيازات مرتفعة ويتجاوز اكتشاف Windows Defender. لا يحتاج إلى رمز ماكرو ليتم تمكينه لتنفيذ البرامج النصية.
يمكن أن يتحايل الخلل أيضًا على ميزة العرض المحمي من Microsoft، وهي أداة Office تحذر من الملفات والمستندات التي يحتمل أن تكون ضارة.
و الللحذر اقترح الباحثون أن تحويل المستند إلى ملف RTF قد يسمح للمهاجمين بتجاوز هذا التحذير. يمكن أيضًا استغلال الثغرة الأمنية دون أي نقرات عن طريق تمرير مؤشر الماوس فوق الملف الذي تم تنزيله لمعاينته.
حذر عملاق البرمجيات من أن الخلل سمح للمهاجمين بتثبيت البرامج وحذف البيانات وإنشاء حسابات جديدة ضمن السياق الذي تسمح به حقوق المستخدم.
لاحظ باحثو الأمن السيبراني أن المتسللين يستغلون الثغرة الأمنية لاستهداف المستخدمين الروس والبيلاروسيين منذ أبريل.
و القالت Enterprise Security Proofpoint تستغل مجموعة قرصنة صينية ترعاها الدولة الضعف لشن هجمات تستهدف المجتمع التبتي الدولي.
تستهدف مجموعة TA413 المنظمات التبتية من خلال استخدام الوظائف الإضافية للمستعرضات الضارة وحملات التجسس تحت عنوان فيروس كورونا. تُعرف المجموعة أيضًا باسم LuckyCat و Earth Berberoka.
ثغرة أمنية في Microsoft Office
تلقت Microsoft تقريرًا عن Follina في 12 أبريل، بعد أن تم العثور على مستندات Word تستغل الخلل.
ومع ذلك، قال الباحث الذي أبلغ عن الخلل Microsoft صنفت الخلل في البداية على أنه ليس مشكلة أمنية. أبلغ عملاق البرمجيات الباحث لاحقًا أن المشكلة قد تم حلها. لكن لا يبدو أن التصحيح متوفر.
أصدرت Microsoft إرشادات لمنع الهجمات التي تستغل CVE-2022-30190 عن طريق تعطيل بروتوكول MSDT URL، إلى جانب لوحة المعاينة في مستكشف Windows.
أصدرت وكالة الأمن السيبراني والبنية التحتية الأمريكية تنبيهًا يحث المستخدمين والمسؤولين على ة إرشادات الشركة وتنفيذ الحلول اللازمة.