En nyligt opdaget sårbarhed i Microsoft Office bliver allerede udnyttet af hackere, der er knyttet til den kinesiske regering, ifølge trusselsanalyseundersøgelser fra sikkerhedsfirmaet Proofpoint.
Detaljer delt af Proofpoint på Twitter tyder på, at en hackergruppe mærket TA413 brugte sårbarheden (kaldet “Follina” af forskere) i ondsindede Word-dokumenter, der påstås at være sendt fra den centrale tibetanske administration, den tibetanske eksilregering baseret i Dharamsala, Indien. TA413-gruppen er en APT, eller “avanceret vedvarende trussel”, skuespiller, der menes at være knyttet til den kinesiske regering og er tidligere blevet observeret målrettet mod det tibetanske eksilsamfund.
Generelt har kinesiske hackere en historie med at bruge softwaresikkerhedsfejl til at målrette mod tibetanere. En rapport udgivet af Citizen Lab i 2019 dokumenterede omfattende målretning af tibetanske politiske personer med spyware, herunder gennem Android-browserudnyttelser og ondsindede links sendt via WhatsApp. Browserudvidelser er også blevet våben til formålet, hvor tidligere analyser fra Proofpoint har afsløret brugen af en ondsindet Firefox-tilføjelse til at spionere på tibetanske aktivister.
Microsoft Word-sårbarheden begyndte først at få bred opmærksomhed den 27. maj, da en sikkerhedsforskningsgruppe kendt som Nao Sec tog til Twitter for at diskutere en prøve indsendt til online malware-scanningstjenesten VirusTotal. Nao Secs tweet markerede den ondsindede kode som værende leveret gennem Microsoft Word-dokumenter, som i sidste ende blev brugt til at udføre kommandoer gennem PowerShell, et kraftfuldt systemadministrationsværktøj til Windows.
Interessant maldoc blev indsendt fra Hviderusland. Den bruger Words eksterne link til at indlæse HTML og bruger derefter “ms-msdt”-skemaet til at udføre PowerShell-kode.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27. maj 2022
I et blogindlæg offentliggjort den 29. maj delte forskeren Kevin Beaumont yderligere detaljer om sårbarheden. Ifølge Beaumonts analyse lader sårbarheden et ondsindet udformet Word-dokument indlæse HTML-filer fra en ekstern webserver og derefter udføre PowerShell-kommandoer ved at kapre Microsoft Support Diagnostic Tool (MSDT), et program, der normalt indsamler oplysninger om nedbrud og andre problemer med Microsoft-applikationer.
Microsoft har nu erkendt sårbarheden, officielt titlen CVE-2022-30190, selvom der er rapporter om, at tidligere forsøg på at underrette Microsoft om den samme fejl blev afvist.
Ifølge Microsofts eget sikkerhedssvar blog, kan en hacker, der er i stand til at udnytte sårbarheden, installere programmer, få adgang til, ændre eller slette data og endda oprette nye brugerkonti på et kompromitteret system. Indtil videre har Microsoft ikke udstedt en officiel patch, men tilbudt afhjælpende foranstaltninger for sårbarheden, der involverer manuel deaktivering af URL-indlæsningsfunktionen i MSDT-værktøjet.
På grund af den udbredte brug af Microsoft Office og relaterede produkter, er den potentielle angrebsflade for sårbarheden stor. Aktuelle analyser tyder på, at Follina påvirker Office 2013, 2016, 2019, 2021, Office ProPlus og Office 365; og fra tirsdag opfordrede US Cybersecurity and Infrastructure Security Agency systemadministratorer til at implementere Microsofts vejledning til at afbøde udnyttelse.