أصدرت Microsoft تحديثات الأمان الجديدة لنظام التشغيل Windows لشهر يونيو 2022 ذلك صحيح يتم استغلال ثغرة أمنية خطيرة في نظام التشغيل تُعرف باسم Follina بنشاط في الهجمات المستمرة.
و القالت الشركة توصي Microsoft بشدة أن يقوم العملاء بتثبيت التحديثات للحماية الكاملة من الثغرة الأمنية. لا يحتاج العملاء الذين تم إعداد أنظمتهم لتلقي التحديثات التلقائية إلى اتخاذ أي إجراء آخر.
كما حثت الشركة العملاء من خلال منشور عبر مركز استجابة أمان Microsoft على تثبيت التحديثات في أسرع وقت ممكن.
تم تتبعها على أنها CVE-2022-30190، ووصفت Microsoft الثغرة الأمنية على أنها خطأ في تنفيذ التعليمات البرمجية عن بُعد لأداة تشخيص دعم Windows والتي تؤثر على جميع إصدارات Windows التي لا تزال تتلقى تحديثات الأمان.
يمكن للمهاجمين الذين يستغلون هذه الثغرة الأمنية بنجاح تنفيذ تعليمات برمجية عشوائية بامتيازات التطبيق لتثبيت البرامج أو عرض البيانات أو تغييرها أو حذفها.
كما يسمح للمهاجمين بإنشاء حسابات Windows جديدة حسب ما تسمح به حقوق المستخدم المعرض للخطر.
علاوة على ذلك، تسمح عمليات استغلال Follina للمهاجمين بتنفيذ أوامر PowerShell الخبيثة عبر تشخيصات دعم Windows فيما تصفه Microsoft بهجمات تنفيذ التعليمات البرمجية المسيئة عند فتح مستندات Word أو معاينتها.
لا يمنع التصحيح Office من تحميل مقابض Windows URI تلقائيًا دون تدخل المستخدم. لكنه يمنع حقن PowerShell ويعطل طريقة الهجوم هذه.
تعمل Microsoft على إصلاح خطأ أمني كبير
تم استغلال ثغرة Follina في الهجمات لفترة من قبل الجهات الفاعلة المدعومة من الدولة والجرائم الإلكترونية ذات الأهداف المختلفة.
استغلت مجموعة القرصنة الصينية TA413 الخطأ في الهجمات التي استهدفت الشتات التبتي. كما تم استخدامه من قبل مجموعة ثانية متحالفة مع الدولة في هجمات التصيد ضد الوكالات الحكومية في الولايات المتحدة والاتحاد الأوروبي.
يتم الآن استغلال Follina أيضًا من قبل مجموعة TA570 في حملات التصيد الاحتيالي لإصابة المستلمين بـ Qbots.
بدأت الهجمات الأولى التي استغلت هذا الخلل في منتصف أبريل. وذلك من خلال التهديد بالابتزاز الجنسي والدعوات لإجراء مقابلات على راديو سبوتنيك كطعم.
تحث وكالة الأمن السيبراني وأمن البنية التحتية أيضًا مسؤولي Windows والمستخدمين على تعطيل بروتوكول أداة تشخيص دعم Windows الذي أسيء استخدامه في هذه الهجمات. هذا في ضوء تقارير Microsoft عن الاستغلال النشط للخطأ.
و قال باحث أمني الذي أبلغ فريق الأمان في Microsoft بالثغرة الأمنية في أبريل أن الشركة رفضت تقديمها الأولي ووصفها إنها ليست قضية أمنية.
ومع ذلك، وفقًا للباحث، أغلق مهندسو Microsoft لاحقًا الخطأ في إرسال التقرير بـ وصفة إنها مشكلة تنفيذ التعليمات البرمجية عن بعد.