Злоумышленники уже эксплуатируют свежий 0-day баг в Microsoft Office / взлом :: 0day :: кибератака :: microsoft office :: информационная безопасность

информационная безопасность кибератака microsoft office 0day взлом 

Злоумышленники уже эксплуатируют свежий 0-day баг в Microsoft Office

Эксперты предупредили, что китайские хакеры уже активно эксплуатируют уязвимость нулевого дня в Microsoft Office, известную под названием Follina, для удаленного выполнения вредоносного кода в уязвимых системах.

Напомню, что об обнаружении Follina стало известно на прошлой неделе, хотя первые исследователи обнаружили баг еще в апреле 2022 года, но тогда в Microsoft отказались признать проблему. Теперь уязвимость отслеживается под идентификатором CVE-2022-30190, и известно, что ее можно эксплуатировать через обычное открытие документа Word или предварительный просмотр в «Проводнике», применяя для выполнения вредоносных команд PowerShell через Microsoft Diagnostic Tool (MSDT).

Баг затрагивает все версии Windows, которые получают обновления безопасности, то есть Windows 7 и новее, а также Server 2008 и новее.

Ранее эксперты уже сообщали, что обнаружение Follina является весьма тревожным сигналом, так как уязвимость открывает новый вектор атак с использованием Microsoft Office. Дело в том, что баг работает без повышенных привилегий, позволяет обойти Windows Defender и не требует активации макросов для выполнения бинарников или скриптов.

Как теперь рассказывают специалисты компании Proofpoint, проблему Follina уже взяли на вооружение китайские «правительственные» хакеры из группы TA413, нацелив свои атаки на международное тибетское сообщество.

лоумышленники распространяют среди жертв  ZIP-архивы, содержащие вредоносные документы Word, предназначенные для атак на CVE-2022-30190. Приманки замаскированы под послания Центральной тибетской администрации и используют домен tibet-gov.web[.]app.

Известный ИБ-исследователь MalwareHunterTeam тоже пишет, что обнаружил документы DOCX с именами файлов на китайском языке, которые используются для доставки вредоносных полезных нагрузок через домен http://coolrat[.]xyz, в том числе малвари для кражи паролей.

Так как патча для Follina пока нет, администраторы и пользователи могут блокировать атаки на CVE-2022-30190, отключив протокол MSDT URI, который злоумышленники используют для запуска дебагеров и выполнения кода в уязвимых системах.  Также рекомендуется отключить предварительный просмотр файлов в «Проводнике» Windows, потому что атака возможна и таким способом.

Источник:

xakep.ru


Подробнее
информационная безопасность,кибератака,microsoft office,0day,взлом
Развернуть

Отличный комментарий!

Когда твой софт пишут низкооплачиваемые индусы, там и не такое можно найти.
Voise From Voise From02.06.202208:40ссылка
+11.2
Когда ты отказываешься признавать ошибку, то это уже первый шаг к провалу. Если по чесноку, то крупные компании начинают шевелиться только если кто-то из крупных клиентов несёт убытки, если убытки несёт сама компания или если небольшая группа людей начинает активно привлекать к проблеме внимание. К сожалению чаще всего это именно так и работает
veelzevul veelzevul02.06.202208:46ссылка
+31.1
Когда твой софт пишут низкооплачиваемые индусы, там и не такое можно найти.
Когда ты отказываешься признавать ошибку, то это уже первый шаг к провалу. Если по чесноку, то крупные компании начинают шевелиться только если кто-то из крупных клиентов несёт убытки, если убытки несёт сама компания или если небольшая группа людей начинает активно привлекать к проблеме внимание. К сожалению чаще всего это именно так и работает
По опыту работы в одной крупной компании - 99% критикал-репортов об уязвимостях - это полная хуета в стиле "а вот если юзер отправит мне сообщение, я смогу его репостнуть, и тогда сообщение прочитает тот, кто не имел к нему изначального доступа!".

то есть либо люди не понимают, что считается уязвимостью, либо спамят чем-то явно не-проблемным, в надежде случайно поймать хоть какую-то плюшку по bugs-bounty программе.

так что пропустить что-то действительно критичное - реально. и я б не закидывал ms тапками сразу.
plflok plflok 02.06.202210:09 ответить ссылка 10.4
Из статьи https://habr.com/ru/news/t/668798/

Microsoft рекомендует системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»).

Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.

Microsoft советует в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости нулевого дня CVE-2022-30190, но не для всех версий MS Office.
Линукс грядёт!
а если без сарказма - то тот же FreeOffice для 95% задач вполне достаточен, и не тормозит, как ОО или Либр.
tfik tfik 02.06.202209:55 ответить ссылка -1.8
Если бес сарказма - то коль вам его хватает на 95 процентов, то вы и в блокноте работать можете. А те кто все же пользуется для работы, лучше офиса не найти
"бес сарказма" хмм.. прям готовый ник или персонаж игры))
вспомнился давний срач по поводу лучшей IDE для верстки html...

Консенсус был в том, что, какая бы крутячья ИДЕ ни была, все равно отладка будет проходить в блокноте. Так или иначе.

Такшта ваша ирония "и в блокноте работать сможете" - мимо. Да, смогу. И ВИЗИВИГ-финтифлюхи офиса мне не нужны, а нужна переносимость между компами, на которых - от Вынь-11 до какого-то неудобьназываемого Линуха расейского производства, на котором офис ну при всем желании не покряхтит.
tfik tfik 02.06.202213:25 ответить ссылка -0.5
Отладка HTML в блокноте...
Спасибо, мозг взорван
Psilon Psilon 02.06.202215:13 ответить ссылка 1.0
Рендеринг вручную на тетрадном листочке.
MBRUS MBRUS 02.06.202219:10 ответить ссылка 0.0
Win7pro Sp2 нет такого в реестре.
Denton2 Denton2 02.06.202212:13 ответить ссылка -1.2
Sp2 нет такого в Win7.
Наверное тебя не устроила буковка p которая должна быть большой? Или ты в принципе не знаешь о существовании сервиспака 2 - ну тогда вот ссыль, ознакомляйся что ле...
https://support.microsoft.com/ru-ru/topic/%D1%81%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D1%8F-%D0%BE-%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B5-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-2-sp2-%D0%B4%D0%BB%D1%8F-windows-vista-%D0%B8-%D0%BE-%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%B5-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-2-sp2-%D0%B4%D0%BB%D1%8F-windows-server-2008-7ddc6fc7-5809-45f9-4003-c351c5a2224e
Denton2 Denton2 02.06.202223:05 ответить ссылка -1.2
> Сведения о пакете обновления 2 (SP2) для Windows Vista
> и о пакете обновления 2 (SP2) для Windows Server 2008
> Win7pro
Кажется, ты в принципе не знаешь, что ни дриста, ни сервер 2008 (даже R2) не являются топором.
Блин, хотел написать про SP3, но видать это всё фантомные воспоминания от XP. И ссылку вставил не посмотрев... И сижу я на SP1 оказывается. Вобщем признаю свою ошибку.
Просмотр основных сведений о вашем компьютере
Издание Windows------------------------------
«
Windows 7 Профессиональная
© Корпорация Майкрософт (Microsoft Согр.), 2009. Все праеа защищены.
Service Pack 1
Получить доступ к дополнительным фyнкциям^ установив новый выпуск Windows 7
Что ж, бывает.
Я, помнится, как-то году в 2008 или 2009 с одного торрент-трекера скачал "Windows 7 SP2", никаких васянов в названии не упоминалось. Оказалось, что это всё-таки сборка от васяна на основе бета-версии. Потому что в 2010-м она стала вырубать комп ровно через два часа после включения - это такая намеренная фича бета-версии.
не нашёл такого в реестре.
не нашёл таких настроек в дефендере. где они?
krako krako 02.06.202214:00 ответить ссылка 0.1
-Windows 7 и новее

Пфф, поставил XP ZVER Vasyan Edition и не паришься.
тут давеча кто-то показывал ноут 1989 года с Досом...
tfik tfik 02.06.202209:56 ответить ссылка 0.2
А нахуй вообще нужен этот протокол и собсно утилита MSDT?
Кажись какая-то корпоративаня хуедрыга с онлайн правками и общим доступом.
MSDT - улитка автоматом запускающаяся при крахе приложения и анализирующая его ядро и скрипт. То самое "приложение работает некорректно - выполнить поиск решения проблемы?" Т.е. она запускается под всеми юзерами с привилегией админа, ибо проблема должна быть устранена, только выполняемый код который анализируется на ошибку содержит зловред.
Тоесть, это та самая штука, которая отсылает майкам неизвестную инфу, вплоть до телеметрии и абсолютно бесполезна для юзера, а теперь оказалось, что и вредна.
Отсылать или нет - выбирешь сам, а запускается она автоматом при сбое. Вредна она на столько-же, на сколько и любая OS.
Небось ещё и офис не должен быть установлен. Хватит того, что с системой идёт.
turbo2001 turbo2001 02.06.202209:45 ответить ссылка -0.7
0 day vulnerability например?
Fukse Fukse 02.06.202210:13 ответить ссылка 0.2
В статье -1 day vulnerability. Открывать пришедший по почте вордовский документ - неужели на это кто-то все еще ведется?
в котором люди не открываю!
незнакомых адресов
	
1	
	1 11
- . ¿А	
1 з —. * »» «	У дгоч .*
	ff! 1 1
	ff
	— ж
	t - »'Xj
Meffol Meffol 02.06.202210:26 ответить ссылка 12.3
Ну а представь, что тебе на почту приходит в день 20 вордовских документов от разных контрагентов со всякими заявками, правками договоров и курсовыми собаки. Приправить щепоткой социального хакинга.
Cordum Cordum 02.06.202211:20 ответить ссылка 10.5
Например кто-то, кому нужны все возможности макросов Экселя (да, есть извращенцы, которым на этих макросах чуть ли не учетные системы строят). Или подключение к OLAP кубам (внезапно Эксель очень пелох в этой роли). Или кому надо чтобы при открытии сложного текстового документа его не расколбашивало в сопли.
Собственно, если очень недешевый офис все еще продается - значит кто-то им пользуется.
"к OLAP кубам (внезапно Эксель очень пелох в этой роли)"

неплох, пока от открытых кубов его не распидорашивает в памяти до 3.5 ГБ
А в этот момент можно начать переучивать пользователей на Power BI.
Потому что уже пройден момент "нахуй нам не нужон этот ваш интернет, и шо такое эти кубы ваши вообще?"
Я знаю, но исторически так сложилось, что ГК будет плакать и жевать эксель с кубами еще лет 10 (
Офис 2021 вроде как x64. Его тоже расколбашивает на 3 гигабайтах?
Именно его и колбасит. 32 разрядныйэ начинает где то на 1.8
Первое, что пришло на ум - подкладывать картинку под текст. Думаю это не единственное отличие. В экселе есть куча формул таких, которых нет больше нигде.
Если ты ставишь вопрос так, то ты даже толком с Гугл доками не работал, не то что с офисом.

Отличеэие огромное между ними увы.
Самое смешное, что у майкрософта тоже давно есть облачный офис.
А потом все спрашивают почему ты не обновляешь систему сразу после выхода новой версии, ВОТ ПОЧЕМУ, простите нагорело.
Loki4000 Loki4000 02.06.202212:25 ответить ссылка 0.3
"РЯЯЯЯ НАДО ВСЕГДА ВСЁ ОБНОВЛЯТЬ ДО ПОСЛЕДНЕЙ ВЕРСИИ, ПОТОМУ ЧТО ТАМ ПОФИКШЕНЫ УЯЗВИМОСТИ ПРЕДПОСЛЕДНЕЙ"
Ахаха, то есть мяу.
>лоумышленники
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
1989
Сейчас
Microsoft Excel	X
Excel не может работать с двумя документами, у которых одинаковое название.
_____ок
-J -.1 I 12. Г/7 Г|---------------------------------
подробнее»

microsoft office геек Excel

1989 Сейчас Microsoft Excel X Excel не может работать с двумя документами, у которых одинаковое название. _____ок -J -.1 I 12. Г/7 Г|---------------------------------
John Opdenakker
@j_opdenakker
To the person who stole my Microsoft Office License.
I'm gonna find you. You have my Word.
11:06 * 13 Feb 21 • Twitter Web App
243 Retweets 17 Quote Tweets 1,654 Likes
подробнее»

без перевода Буквы на белом фоне microsoft office приколы для образованных даунов со знанием английского caption on white background microsoft office pun intended

John Opdenakker @j_opdenakker To the person who stole my Microsoft Office License. I'm gonna find you. You have my Word. 11:06 * 13 Feb 21 • Twitter Web App 243 Retweets 17 Quote Tweets 1,654 Likes
««««/-
ж««««