Microsoft, Follina olarak bilinen ve devam eden saldırılarda aktif olarak sömürülen kritik bir Windows sıfır gün güvenlik açığını ele almak için Haziran 2022 kümülatif Windows güncellemeleri ile güvenlik güncellemeleri yayınladı.
Microsoft, orijinal danışmanlık güncellemesinde, "Microsoft, müşterilerin güvenlik açığından tam olarak korunmak için güncellemeleri yüklemelerini şiddetle tavsiye ediyor. Sistemleri otomatik güncellemeler alacak şekilde yapılandırılmış müşterilerin daha fazla işlem yapması gerekmiyor." Dedi.
"Microsoft, güncellemelerin mümkün olan en kısa sürede yüklenmesini öneriyor," şirketi Microsoft Güvenlik Yanıt Merkezi'ndeki bir yayında müşterileri daha da çağırdı.
CVE-2022-30190 olarak izlenen güvenlik kusuru, Redmond tarafından bir Microsoft Windows Destek Diyagnostik Aracı (MSDT) Uzak Kod Yürütme hatası olarak açıklanır (yani Windows 7+ ve Server 2008+) tüm Windows sürümlerini etkileyen.
Bu sıfır gününü başarıyla kullanan saldırganlar, programları yüklemek, görüntülenmek, değiştirmek veya silmek ve hatta tehlikeye atılan kullanıcının haklarının izin verdiği gibi yeni Windows hesapları oluşturmak için arama uygulamasının ayrıcalıklarıyla keyfi kod yürütebilir.
Güvenlik araştırmacısı NAO_SEC'in bulduğu gibi, Follina istismarları, tehdit aktörlerinin MSDT aracılığıyla Redmond'un Word belgelerini açarken veya önizleme sırasında keyfi kod yürütme (ACE) saldırıları olarak tanımladığı şeyde kötü niyetli PowerShell komutları yürütmesine izin verir.
Bugünün güncellemelerini uygulamak, Microsoft Office'in kullanıcı etkileşimi olmadan Windows Protokolü URI işleyicilerini otomatik olarak yüklemesini engellemezken, PowerShell enjeksiyonunu engeller ve bu saldırı vektörünü devre dışı bırakır.
Haziran 2022 Patch Salı güncellemelerinde Follina / CVE-2022-30190 güncellemesini arayanlar için not alın: Bugün piyasaya sürülen yamalara rağmen, Mayıs ayında piyasaya sürüldüğü listeleniyorlar. Güncelleme ile msdt.exe hala otomatik olarak ortaya çıkıyor. Ama enjeksiyon olmadan. pic.twitter.com/a0xl28eyhc
Follina güvenlik açığı, çeşitli son hedeflere sahip devlet destekli ve siber suçlu aktörler tarafından bir süredir saldırılarda kullanıldı.
Proofpoint Security araştırmacılarının açıkladığı gibi, Çin TA413 hackleme grubu, Tibet diasporasını hedefleyen saldırılardaki hatadan yararlandı. Buna karşılık, devlete uymuş ikinci bir tehdit grubu, bunu ABD ve AB devlet kurumlarına yönelik kimlik avı saldırılarında kullandı.
Follina, alıcıları QBOT kötü amaçlı yazılımlarla enfekte etmek için devam eden kimlik avı kampanyalarında TA570 QBOT üyesi tarafından da istismar ediliyor.
Bununla birlikte, bu sıfır günü hedefleyen ilk saldırılar Nisan ayının ortalarında başladı, sekreter tehditleri ve Sputnik radyo röportajlarına yem olarak davetiyeler.
Microsoft'un Wild'daki hatanın aktif olarak kullanıldığını bildiren CISA, Windows yöneticilerini ve kullanıcılarını bu saldırılarda istismar edilen MSDT protokolünü devre dışı bırakmaya çağırdı.
Nisan ayında Microsoft'un güvenlik ekibine sıfır gününü bildiren Güvenlik Araştırmacısı Shadow Chaser Group'un CrazyManarmy, şirketin ilk sunumunu "güvenlik ile ilgili bir sorun" olarak reddettiğini söyledi.
Ancak, araştırmacıya göre, Redmond'un mühendisleri daha sonra hata gönderme raporunu uzaktan kod yürütme etkisi ile kapattı.
Microsoft Haziran 2022 Patch Salı Düzeltmeleri 1 Sıfır Gün, 55 Kusur
Windows Zero-Day ABD Yerel Govt kimlik avı saldırılarında sömürüldü
Windows msdt sıfır gün güvenlik açığı ücretsiz gayri resmi yama alır
Windows Msdt Zero-Day şimdi Çince Hackers tarafından sömürüldü
Yeni 'Dogwalk' Windows Zero-Day Hata Ücretsiz Gayri Arası Yamalar Alır
Kaynak: Bleeping Computer