Aan China gelinkte hackers maken misbruik van een nieuwe kwetsbaarheid in Microsoft Office


Een nieuw ontdekte kwetsbaarheid in Microsoft Office wordt al uitgebuit door hackers die banden hebben met de Chinese overheid, volgens dreigingsanalyse onderzoek van beveiligingsbedrijf Proofpoint.

Details gedeeld door Proofpoint op Twitter suggereren dat een hackgroep met het label TA413 de kwetsbaarheid (door onderzoekers “Follina” genoemd) gebruikte in kwaadaardige Word-documenten die zouden zijn verzonden door de Central Tibetan Administration, de Tibetaanse regering in ballingschap gevestigd in Dharamsala, India. De TA413-groep is een APT, of ‘advanced persistent threat’, een actor waarvan wordt aangenomen dat hij banden heeft met de Chinese regering en is eerder waargenomen als doelwit van de Tibetaanse gemeenschap in ballingschap.

Over het algemeen hebben Chinese hackers een geschiedenis van het gebruik van softwarebeveiligingsfouten om Tibetanen aan te vallen. Een rapport dat in 2019 door Citizen Lab werd gepubliceerd, documenteerde dat Tibetaanse politieke figuren uitgebreid werden getarget met spyware, onder meer via exploits van Android-browsers en kwaadaardige links die via WhatsApp werden verzonden. Browserextensies zijn ook voor dit doel bewapend, waarbij eerdere analyse van Proofpoint het gebruik van een kwaadaardige Firefox-add-on aan het licht bracht om Tibetaanse activisten te bespioneren.

De kwetsbaarheid in Microsoft Word kreeg voor het eerst brede aandacht op 27 mei, toen een beveiligingsonderzoeksgroep, bekend als Nao Sec, naar Twitter ging om bespreek een voorbeeld ingediend bij de online malware-scanservice VirusTotal. Nao Sec’s tweet markeerde de kwaadaardige code als geleverd via Microsoft Word-documenten, die uiteindelijk werden gebruikt om opdrachten uit te voeren via PowerShell, een krachtige systeembeheertool voor Windows.

In een blogpost die op 29 mei werd gepubliceerd, deelde onderzoeker Kevin Beaumont meer details over de kwetsbaarheid. Volgens de analyse van Beaumont laat de kwetsbaarheid een kwaadwillig vervaardigd Word-document HTML-bestanden laden van een externe webserver en vervolgens PowerShell-opdrachten uitvoeren door de Microsoft Support Diagnostic Tool (MSDT) te kapen, een programma dat gewoonlijk informatie verzamelt over crashes en andere problemen met Microsoft-toepassingen.

Microsoft heeft nu de kwetsbaarheid erkend, officieel getiteld CVE-2022-30190, hoewel er berichten zijn dat eerdere pogingen om Microsoft op de hoogte te stellen van dezelfde bug werden afgewezen.

Volgens Microsoft’s eigen blog over beveiligingsreacties kan een aanvaller die misbruik kan maken van het beveiligingslek programma’s installeren, toegang krijgen tot gegevens, deze wijzigen of verwijderen, en zelfs nieuwe gebruikersaccounts maken op een gecompromitteerd systeem. Tot nu toe heeft Microsoft geen officiële patch uitgebracht, maar maatregelen tegen het beveiligingslek aangeboden, waarbij de functie voor het laden van URL’s van de MSDT-tool handmatig moet worden uitgeschakeld.

Door het wijdverbreide gebruik van Microsoft Office en aanverwante producten is het potentiële aanvalsoppervlak voor de kwetsbaarheid groot. Huidige analyse suggereert dat Follina invloed heeft op Office 2013, 2016, 2019, 2021, Office ProPlus en Office 365; en vanaf dinsdag drong het Amerikaanse Cybersecurity and Infrastructure Security Agency er bij systeembeheerders op aan om de richtlijnen van Microsoft voor het verminderen van uitbuiting te implementeren.





Source link

Leave a Comment