يستغل المتسللون المدعومين من الصين Microsoft Zero-Day

يستغل المتسللون المدعومين من الصين Microsoft Zero-Day


يقوم المتسللون المدعومين من الصين باستغلال ثغرة أمنية ليوم صفر غير متكافئة ، تُعرف باسم فولينا ، لتنفيذ التعليمات البرمجية الخبيثة عن بعد على أنظمة Windows. يتم استخدامه في الهجمات لتنفيذ أوامر PowerShell الضارة عبر أداة تشخيص Microsoft (MSDT) عند فتح أو معاينة مستندات المكتب المصنوعة خصيصًا. يعمل الخلل ، الذي يؤثر على 41 منتجًا من Microsoft ، بما في ذلك Windows 11 و Office 365 ، دون امتيازات مرتفعة ، يتجاوز اكتشاف Windows Defender ولا يحتاج إلى تمكين رمز الماكرو لتنفيذ الثنائيات أو البرامج النصية. يمكن أيضًا التحايل على ميزة العرض المحمية لـ Microsoft ، وهي أداة مكتب تحذر من الملفات والمستندات الخبيثة المحتملة. حذر باحثو المتصارعون من أن تحويل المستند إلى ملف تنسيق نص غني (RTF) يمكن أن يسمح للمهاجمين بتجاوز هذا التحذير ويمكّن أيضًا من الاستغلال أن يتم تشغيله مع عرض تحوم لملف تم تنزيله لا يتطلب أي نقرات.

< حذرت Br> Microsoft من أن الخلل يمكن أن يمكّن الجهات الفاعلة للتهديد من تثبيت البرامج وحذف البيانات وإنشاء حسابات جديدة في السياق المسموح به حقوق المستخدم. قالت شركة Proofpoint لشركة Proofpoint لشركة Enterprise Security وشركة Enterprise هذا الأسبوع إن مجموعة القرصنة الصينية التي ترعاها الدولة تستغل اليوم الصفر في الهجمات التي تستهدف المجتمع التبتي الدولي.

Ta413 Cn Apt رصدت [في الغزل] وقال Proofpoint في تغريدة ، إن استغلال Follina Zero-Day باستخدام عناوين URL لتقديم أرشيفات zip تحتوي على مستندات الكلمات التي تستخدم هذه التقنية. تنتحل الحملات 'مكتب تمكين المرأة' في الإدارة التبتية المركزية واستخدام المجال التبت gov.web [.] و Berberoka الأرض-استهداف المنظمات التبتية من خلال استخدام ملحقات المتصفح الخبيثة وحملات التجسس التي تحمل طابع COVID-19. كن من وكالة أنباء سبوتنيك الروسية تقدم للمستلمين مقابلة إذاعية - تم العثور على إساءة استخدام العيب في البرية. ومع ذلك ، قال Microsoft في البداية ، إن Microsoft في البداية ، قال Microsoft في البداية إن Microsoft وضعت في البداية العيوب على أنها ليست مشكلة متعلقة بالأمن. أبلغ عملاق التكنولوجيا في وقت لاحق الباحث أن المشكلة قد تم إصلاحها ، ولكن يبدو أن التصحيح لا يبدو متاحًا.

سأل TechCrunch Microsoft متى سيتم إصدار تصحيح ولكن رفضت الشركة الإجابة. ومع ذلك ، قال متحدث باسم الشركة إن الشركة قد أصدرت Guidance التي تنصح المدراء بأنه يمكنهم منع الهجمات التي تستغل CVE-2022-30190 عن طريق تعطيل بروتوكول URL MSDT ، إلى جانب جزء المعاينة في مستكشف Windows.

أصدرت وكالة أمن البنية التحتية (CISA) تنبيهًا يوم الثلاثاء تحث المستخدمين والمسؤولين على مراجعة إرشادات Microsoft وتطبيق الحلول اللازمة.

تم تحديثها مع تعليق من Microsoft

اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي