แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ใหม่ใน Microsoft Office

ช่องโหว่ที่ค้นพบใหม่ใน Microsoft Office กำลังถูกโจมตีโดยแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลจีนตามการวิจัยการวิเคราะห์ภัยคุกคามจาก

รายละเอียดที่ Proofpoint แบ่งปันบน Twitter แนะนำว่ากลุ่มแฮ็คชื่อ TA413 กำลังใช้ช่องโหว่ (ชื่อ “Follina” โดยนักวิจัย) ในเอกสาร Word ที่เป็นอันตรายซึ่งอ้างว่าส่งมาจาก Central Tibetan Administration รัฐบาลทิเบตพลัดถิ่นที่อยู่ใน Dharamsala ประเทศอินเดีย กลุ่ม TA413 เป็น APT หรือ “ภัยคุกคามขั้นสูงแบบต่อเนื่อง” ที่เชื่อกันว่ามีความเชื่อมโยงกับรัฐบาลจีน และเคยถูกตั้งข้อสังเกตว่ามุ่งเป้าไปที่ชุมชนพลัดถิ่นชาวทิเบต

UFA Slot

บทความแนะนำ : Siri ได้รับเสียงใหม่ใน iOS 15.4 beta

โดยทั่วไปแล้ว แฮ็กเกอร์ชาวจีนมีประวัติในการใช้ข้อบกพร่องด้านความปลอดภัยของซอฟต์แวร์เพื่อกำหนดเป้าหมายชาวทิเบต รายงานที่เผยแพร่โดย Citizen Lab ในปี 2019 ระบุถึงการกำหนดเป้าหมายอย่างครอบคลุมของนักการเมืองชาวทิเบตด้วยสปายแวร์ รวมถึงการใช้ประโยชน์จากเบราว์เซอร์ Android และลิงก์ที่เป็นอันตรายที่ส่งผ่าน WhatsApp ส่วนขยายเบราว์เซอร์ยังถูกสร้างอาวุธเพื่อจุดประสงค์นี้ด้วย โดยการวิเคราะห์ก่อนหน้านี้จาก Proofpoint เผยให้เห็นการใช้โปรแกรมเสริม Firefox ที่เป็นอันตรายเพื่อสอดแนมนักเคลื่อนไหวชาวทิเบต

ช่องโหว่ของ Microsoft Word เริ่มได้รับความสนใจอย่างกว้างขวางในวันที่ 27 พฤษภาคม เมื่อกลุ่มวิจัยด้านความปลอดภัยที่รู้จักกันในชื่อ Nao Sec ได้ใช้ Twitter เพื่อหารือเกี่ยวกับตัวอย่างที่ส่งไปยังบริการสแกนมัลแวร์ออนไลน์ VirusTotal ทวีตของ Nao Sec ระบุว่าโค้ดที่เป็นอันตรายถูกส่งผ่านเอกสาร Microsoft Word ซึ่งท้ายที่สุดแล้วจะใช้เพื่อรันคำสั่งผ่าน PowerShell ซึ่งเป็นเครื่องมือดูแลระบบที่มีประสิทธิภาพสำหรับ Windows

ในบล็อกโพสต์ที่เผยแพร่เมื่อวันที่ 29 พฤษภาคม นักวิจัย Kevin Beaumont ได้แบ่งปันรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าว ตามการวิเคราะห์ของ Beaumont ช่องโหว่ดังกล่าวทำให้เอกสาร Word ที่ออกแบบมาเพื่อประสงค์ร้ายสามารถโหลดไฟล์ HTML จากเว็บเซิร์ฟเวอร์ระยะไกล จากนั้นรันคำสั่ง PowerShell

โดยการจี้ Microsoft Support Diagnostic Tool (MSDT) ซึ่งเป็นโปรแกรมที่มักจะรวบรวมข้อมูลเกี่ยวกับการขัดข้องและปัญหาอื่นๆ กับแอปพลิเคชันของ Microsoft

ขณะนี้ Microsoft ได้รับทราบช่องโหว่ซึ่งมีชื่อว่า CVE-2022-30190 อย่างเป็นทางการ แม้ว่าจะมีรายงานว่าความพยายามก่อนหน้านี้ในการแจ้งให้ Microsoft ทราบถึงจุดบกพร่องเดียวกันนั้นได้ถูกยกเลิกไปแล้ว

ตามบล็อกตอบกลับด้านความปลอดภัยของ Microsoftผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่สามารถติดตั้งโปรแกรม เข้าถึง แก้ไข หรือลบข้อมูล และสร้างบัญชีผู้ใช้ใหม่บนระบบที่ถูกบุกรุกได้ จนถึงตอนนี้ Microsoft ยังไม่ได้ออกโปรแกรมแก้ไขอย่างเป็นทางการ แต่เสนอมาตรการบรรเทาช่องโหว่ที่เกี่ยวข้องกับการปิดใช้งานคุณลักษณะการโหลด URL ของเครื่องมือ MSDT ด้วยตนเอง

บทความอื่น ๆ : all-necklaces.com

UFA Slot

Releated