Pembaruan Windows terbaru memperbaiki kerentanan “Follina” di Microsoft Office

Apa yang baru saja terjadi? Kerentanan serius di Microsoft Office memungkinkan penyerang untuk mengeksekusi kode pada sistem yang ditargetkan yang melewati sebagian besar langkah-langkah keamanan setidaknya selama satu bulan. Para peneliti mengatakan bahwa patch minggu ini Selasa telah menetralisir kerentanan yang dieksploitasi oleh peretas yang didukung negara.

Pengujian oleh Sophos mengonfirmasi bahwa pembaruan Windows KB5014699 hari Selasa menetralkan eksploitasi Follina, yang memungkinkan file Microsoft Word berbahaya untuk menjalankan perintah Powershell pada sistem target. Eksploitasi memengaruhi Office 2013, 2016, 2019, 2021 dan beberapa versi Microsoft 365 di Windows 10 dan 11.

Follina bekerja melalui Alat Diagnostik Microsoft untuk mengambil file HTML dari server web jarak jauh dan kemudian menggunakan ms-msdt MSProtocol Uniform Resource Identifier untuk menjalankan kode Powershell. Ini sangat berbahaya karena Windows Defender tidak memberikan perlindungan darinya, dan tidak memerlukan hak istimewa yang lebih tinggi atau makro Office untuk bekerja. Bahkan mode Office yang Dilindungi – dirancang untuk menghentikan kode berbahaya yang disematkan dalam dokumen – tidak dapat menghentikan Follina. Pengguna dapat meluncurkannya hanya dengan membuka dokumen yang diretas di panel pratinjau Windows Explorer.

Kami mengujinya pada Windows 11 (KB5014697) dan Windows 10 (KB5014699). Tidak ada pembaruan -> popup / instal pembaruan akun -> pemecahan masalah kesalahan / rollback -> akun moar. Tetapi masih belum terdaftar sebagai perbaikan keamanan di Buletin Keamanan Juni 2022… https://t.co/TCikun0l9n

– Keamanan Telanjang (NakedSecurity) 15 Juni 2022

Para penyusup China menggunakan celah itu untuk melawan anggota diaspora Tibet. Serangan lain di bulan Mei ditargetkan pengguna di Belarus. Awal bulan ini, Proofpoint dicegah Serangan Volina menargetkan Uni Eropa dan pemerintah daerah di Amerika Serikat, yang diduga berasal dari aktor negara.

Para peneliti memperingatkan Microsoft dari Follina pada bulan April, tetapi pada awalnya, mereka tidak menganggap eksploitasi sebagai ancaman keamanan yang serius – itu dilacak sebagai CVE-2022-30190. Catatan tambalan untuk pembaruan KB5014699 tidak menyebutkan Follina, tetapi Sophos melaporkan bahwa pengujian lebih lanjut menunjukkan bahwa bug tidak lagi berfungsi setelah menginstal pembaruan.