Los expertos han advertido que los piratas informáticos chinos ya están explotando activamente una vulnerabilidad de día 0 en Microsoft Office conocida como Follina para ejecutar de forma remota código malicioso en sistemas vulnerables..
Déjame recordarte que el descubrimiento de follina se dio a conocer hace unos días, aunque los primeros investigadores descubrieron el error en abril 2022, pero entonces Microsoft se negó a reconocer el problema. La vulnerabilidad ahora se rastrea como CVE-2022-30190 y se sabe que se puede explotar mediante la apertura normal de un documento de Word o la vista previa del Explorador de archivos., usar comandos maliciosos de PowerShell a través de la herramienta de diagnóstico de Microsoft (MSDT) ejecutar.
El error afecta a todas las versiones de Windows que reciben actualizaciones de seguridad, eso es, Windows 7 y después, así como servidor 2008 y después.
Déjame recordarte que también escribimos eso. Caer Un grupo de hackers robó los códigos fuente de los productos de Microsoft..
Previamente, Los expertos ya han informado que el descubrimiento de Follina es una señal muy preocupante., ya que la vulnerabilidad abre un nuevo vector de ataque usando Microsoft Office. El hecho es que el error funciona sin privilegios elevados., permite eludir Windows Defender y no requiere la activación de macros para ejecutar binarios o scripts.
Como Punto de prueba Los expertos ahora dicen, los hackers del “gobierno” chino del TA413 grupo Ya se han aprovechado del problema de Follina., Dirigiendo sus ataques a la comunidad tibetana internacional..
Los atacantes distribuyen archivos ZIP a las víctimas que contienen documentos de Word maliciosos diseñados para atacar CVE-2022-30190. Los señuelos están disfrazados de mensajes de la Administración Central Tibetana y utilizan el sitio web tibet-gov.web.[.]dominio de aplicación.
Reconocido investigador de seguridad de la información. MalwareHunterEquipo También escribe que él Se encontraron documentos DOCX con nombres de archivos en chino. que se utilizan para entregar cargas útiles maliciosas a través del http://rata genial[.]dominio xyz, incluyendo malware para robar contraseñas.
Dado que todavía no hay parche para Follina, Los administradores y usuarios pueden bloquear ataques a CVE-2022-30190 deshabilitando el protocolo URI MSDT, que los atacantes utilizan para iniciar depuradores y ejecutar código en sistemas vulnerables. También se recomienda desactivar la vista previa de archivos en el Explorador de Windows., porque el ataque también es posible de esta manera.