Çin destekli bilgisayar korsanlarının, Windows sistemlerinde uzaktan kötü amaçlı kod yürütmek için “Follina” olarak bilinen henüz yaması çıkmamış bir Microsoft Office sıfırıncı gün güvenlik açığından yararlandığı kaydediliyor.
CVE-2022-30190 olarak izlenen yüksek önemdeki güvenlik açığı , özel hazırlanmış Office belgelerini açarken veya önizlerken Microsoft Tanılama Aracı (MSDT) aracılığıyla kötü amaçlı PowerShell komutlarını yürütmek için saldırılarda kullanılıyor. Windows 11 ve Office 365 dahil 41 Microsoft ürününü etkileyen kusur, yükseltilmiş ayrıcalıklar olmadan çalışıyor, Windows Defender algılamasını atlıyor ve ikili dosyaları veya komut dosyalarını yürütmek için makro kodunun etkinleştirilmesine gerek yok.
Sıfırıncı gün, potansiyel olarak kötü amaçlı dosya ve belgelere karşı uyarı veren bir Office aracı olan Microsoft’un Korumalı Görünüm özelliğini de atlatabiliyor. Huntress araştırmacıları, belgeyi Zengin Metin Biçimi (RTF) dosyasına dönüştürmenin, saldırganların bu uyarıyı atlamasına olanak tanıyabileceği ve ayrıca herhangi bir tıklama gerektirmeyen indirilmiş bir dosyanın üzerine gelindiğinde ön izleme ile istismarın tetiklenebileceği konusunda uyardı.
Microsoft, açığın tehdit aktörlerinin programları yüklemesine, verileri silmesine ve kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturmasına olanak tanıyabileceği konusunda uyardı.
Siber güvenlik araştırmacıları, bilgisayar korsanlarının Nisan ayından bu yana Rus ve Belaruslu kullanıcıları hedef almak için açıktan yararlandığını gözlemledi ve Enterprise güvenlik firması Proofpoint bu hafta, Çin devlet destekli bir bilgisayar korsanlığı grubunun uluslararası Tibet topluluğunu hedef alan saldırılarda sıfırıncı gün açığından yararlandığını söyledi.
Follina sıfırıncı günü, ilk olarak, alıcılara bir radyo röportajı sunan Rusya’nın Sputnik haber ajansından geldiği iddia edilen Word belgelerinin, açığı kötüye kullandığı tespit edildikten sonra, 12 Nisan’da Microsoft’a bildirildi. Bununla birlikte, Shadow Chaser Group’un sıfırıncı günü ilk bildiren araştırmacısı çılgın adam, Microsoft’un başlangıçta kusuru “güvenlikle ilgili bir sorun” olarak etiketlediğini söyledi . Teknoloji devi daha sonra araştırmacıya “sorunun çözüldüğünü” bildirdi, ancak bir yama henüz görünmüyor.