Microsoft sẽ không cho biết liệu họ có vá lỗ hổng Windows nghiêm trọng đang bị khai thác hay không

Microsoft sẽ không cho biết liệu họ có vá lỗ hổng Windows nghiêm trọng đang bị khai thác hay không

những hình ảnh đẹp

Khi các nhóm hacker tiếp tục tấn công một phiên bản Windows zero-day trước đây khiến việc thực thi mã độc trên máy tính mục tiêu trở nên dễ dàng một cách bất thường, Microsoft vẫn giữ thái độ thấp, thậm chí từ chối cho biết liệu họ có kế hoạch vá lỗi hay không.

Cuối tuần trước, công ty bảo mật Proofpoint nói rằng tin tặc có quan hệ với các nhóm quốc gia-nhà nước đã biết đang khai thác lỗ hổng thực thi mã từ xa, có tên là Follina. Proofpoint cho biết các cuộc tấn công được gửi trong các tin nhắn rác độc hại được gửi đến ít hơn 10 khách hàng của Proofpoint ở các chính phủ địa phương và châu Âu của Hoa Kỳ.

Các sản phẩm của Microsoft là một “cơ hội giàu mục tiêu”

Trong một email vào thứ Hai, công ty bảo mật đã bổ sung thêm màu sắc, viết:

  • Proofpoint Threat Research đã tích cực theo dõi việc sử dụng lỗ hổng Follina và chúng tôi đã phát hiện ra một trường hợp thú vị khác vào thứ Sáu. Một email có phần đính kèm tệp RTF đã sử dụng Follina để cuối cùng thực thi một tập lệnh PowerShell. Tập lệnh này kiểm tra ảo hóa, đánh cắp thông tin từ các trình duyệt cục bộ, ứng dụng thư và dịch vụ tệp, tiến hành kiểm tra lại máy và sau đó nén nó cho exfil thông qua BitsAdmin. Mặc dù Proofpoint nghi ngờ chiến dịch này là của một tác nhân liên kết với nhà nước dựa trên cả quá trình điều chỉnh lại rộng rãi của Powershell và sự tập trung nhắm mục tiêu chặt chẽ, chúng tôi hiện không quy nó cho một TA được đánh số.
  • Proofpoint đã quan sát việc sử dụng lỗ hổng này thông qua các ứng dụng của Microsoft. Chúng tôi đang tiếp tục tìm hiểu phạm vi của lỗ hổng bảo mật này nhưng tại thời điểm này, rõ ràng là có nhiều cơ hội để sử dụng nó trên bộ sản phẩm Microsoft Office và cả trong các ứng dụng Windows.
  • Microsoft đã phát hành “giải pháp thay thế” nhưng không phải là một bản vá quy mô đầy đủ. Các sản phẩm của Microsoft tiếp tục là cơ hội mục tiêu dồi dào cho các tác nhân đe dọa và điều đó sẽ không thay đổi trong ngắn hạn. Chúng tôi tiếp tục phát hành tính năng phát hiện và bảo vệ trong các sản phẩm Proofpoint khi chúng tôi tìm hiểu thêm để hỗ trợ khách hàng của mình trong việc bảo vệ môi trường của họ.

Trong khi đó, công ty bảo mật Kaspersky cũng đã theo dõi sự gia tăng trong các hoạt động khai thác của Follina, với hầu hết là ở Mỹ, tiếp theo là Brazil, Mexico và Nga.

Kaspersky

Các nhà nghiên cứu của Kaspersky viết: “Chúng tôi hy vọng sẽ thấy nhiều nỗ lực khai thác Follina hơn để truy cập vào các tài nguyên của công ty, bao gồm cả các cuộc tấn công ransomware và vi phạm dữ liệu”.

CERT Ukraine cũng cho biết họ đang theo dõi việc khai thác các mục tiêu ở quốc gia đó sử dụng email để gửi tệp có tiêu đề “thay đổi tiền lương với accruals.docx” nhằm khai thác Follina.

Bí quyết để Follina nổi tiếng: “RCE tương tác thấp”

Một lý do cho sự quan tâm sâu sắc là Follina không yêu cầu mức độ tương tác với nạn nhân giống như các cuộc tấn công tài liệu độc hại thông thường. Thông thường, các cuộc tấn công này cần mục tiêu để mở tài liệu và cho phép sử dụng macro. Ngược lại, Follina không yêu cầu mục tiêu mở tài liệu và không có macro nào để cho phép. Hành động đơn giản của tài liệu xuất hiện trong cửa sổ xem trước, ngay cả khi chế độ xem được bảo vệ được bật, cũng đủ để thực thi các tập lệnh độc hại.

Jake Williams, giám đốc tình báo về mối đe dọa mạng tại công ty bảo mật Scythe, viết trong một cuộc trò chuyện bằng văn bản: “Nó nghiêm trọng hơn vì không thành vấn đề nếu macro bị vô hiệu hóa và nó có thể được gọi đơn giản thông qua bản xem trước. “Nó không phải là zero-click giống như” chỉ phân phối nó gây ra sự khai thác “nhưng người dùng không cần mở tài liệu.”

Các nhà nghiên cứu đang phát triển một mô-đun khai thác cho khuôn khổ hacking Metasploit gọi hành vi này là hành vi thực thi mã từ xa tương tác thấp. “Tôi đã có thể kiểm tra điều này bằng cách sử dụng cả định dạng .docx và rtf”, một trong số họ viết. “Tôi đã có thể thực thi với tệp RTF chỉ bằng cách xem trước tài liệu trong Explorer.”

Một phản hồi không rõ ràng

Sự nhiệt tình của các tác nhân đe dọa và những người bảo vệ đã thể hiện cho Follina hoàn toàn trái ngược với cấu hình thấp của Microsoft. Microsoft đã chậm chạp trong việc khắc phục lỗ hổng bảo mật ngay từ đầu. Một bài báo học thuật được xuất bản vào năm 2020 đã chỉ ra cách sử dụng Công cụ Chẩn đoán Hỗ trợ của Microsoft (MSDT) để buộc máy tính tải xuống một tập lệnh độc hại và thực thi nó.

Sau đó vào tháng 4, các nhà nghiên cứu từ Shadow Chaser Group nói trên Twitter rằng họ đã báo cáo với Microsoft rằng một cuộc chạy thư rác độc hại đang diễn ra đang làm điều đó. Mặc dù các nhà nghiên cứu đã bao gồm tệp được sử dụng trong chiến dịch, nhưng Microsoft đã bác bỏ báo cáo về logic bị lỗi rằng MSDT yêu cầu mật khẩu để thực thi tải trọng.

Cuối cùng, vào thứ Ba tuần trước, Microsoft đã tuyên bố hành vi này là một lỗ hổng, cung cấp cho nó trình theo dõi CVE-2022-30190 và xếp hạng mức độ nghiêm trọng là 7,8 trên 10. Công ty đã không phát hành bản vá mà thay vào đó đã ban hành hướng dẫn để vô hiệu hóa MSDT.

Microsoft đã nói rất ít kể từ đó. Hôm thứ Hai, công ty từ chối cho biết kế hoạch của họ là gì.

Williams nói: “Các nhóm bảo mật nhỏ hơn đang xem cách tiếp cận thờ ơ của Microsoft như một dấu hiệu cho thấy đây là ‘một lỗ hổng bảo mật khác’ – mà chắc chắn là không phải vậy,” Williams nói. “Không rõ tại sao Microsoft tiếp tục hạ thấp lỗ hổng này, lỗ hổng này đang được khai thác tích cực. Nó chắc chắn không giúp ích gì cho các nhóm bảo mật.”

Nếu không có Microsoft đưa ra các cảnh báo chủ động, các tổ chức chỉ có thể dựa vào đó để được hướng dẫn về các rủi ro và mức độ tiếp xúc của họ với lỗ hổng bảo mật này. Và với mức thấp để khai thác thành công, bây giờ sẽ là thời điểm tốt để biến điều đó thành hiện thực.

Leave a Reply

Your email address will not be published.