Windows MSDT Zero-Day sekarang sedang dieksploitasi oleh peretas APT Cina

Halo teman dekat TanyaTekno, bertemu kembali kita di artikel ini. Di artikel ini saya bakal mengupas Windows MSDT Zero-Day sekarang sedang dieksploitasi oleh peretas APT Cina

Penyerang yang terhubung ke China sekarang secara aktif mengeksploitasi kerentanan zero-day di Microsoft Office (dikenal sebagai ‘Follina’) untuk mengeksekusi kode berbahaya dari jarak jauh pada sistem Windows.

Kerusakan eksekusi kode jarak jauh Microsoft Windows Support Diagnostic Tool (MSDT) (dilacak sebagai CVE-2022-30190) mempengaruhi semua sistem operasi klien dan server Windows yang masih menerima pembaruan keamanan (Windows 7 atau lebih baru dan Windows Server 2008 atau lebih baru).

Shadow Chaser Koleksi Orang gilapeneliti yang pertama kali melaporkan Zero Day pada bulan April, mengatakan bahwa Microsoft awalnya menandai kelemahan tersebut sebagai Bukan “masalah keamanan”“Namun, nanti tutup laporan transmisi kerentanan Dengan efek eksekusi kode jarak jauh.

Dieksploitasi secara aktif di alam liar

TA413 APT, sebuah kelompok peretasan yang terkait dengan kepentingan negara China, telah menggunakan kerentanan ini dalam serangan terhadap target pilihannya, komunitas internasional Tibet.

Seperti yang dicatat oleh peneliti keamanan Proofpoint pada 30 Mei, mereka sekarang menggunakan kerentanan CVE-2022-30190 untuk mengeksekusi kode berbahaya melalui protokol MSDT ketika target dibuka atau pratinjau Dokumen Word dikirimkan dalam arsip ZIP.

Dokumen Kata Berbahaya TA413
Dokumen Word Berbahaya TA413 (Poofpoint)

“TA413 CN APT ITW Melihat Exploit Follina 0 Hari Menggunakan URL untuk Melayani Arsip Zip yang Berisi Dokumen Word Menggunakan Teknologi Ini,” Enterprise Security Proofpoint membuka hari ini.

“Kampanye meniru ‘Kantor Pemberdayaan Wanita’ dari Administrasi Tibet Pusat dan menggunakan domain tibet-gov.web[.]Aplikasi.”

Peneliti keamanan MalwareHunterTeam juga terlihat Dokumen DOCX dengan nama file Cina digunakan untuk menginstal muatan berbahaya yang terdeteksi sebagai Trojan pencuri kata sandi melalui http://coolrat[.]xyz.

keren[.]eksploitasi xyz
Foto: BleepingComputer

Pengenceran tersedia

“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan memanggil hak istimewa aplikasi,” Microsoft menjelaskan dalam panduan baru yang dirilis hari ini untuk memberi administrator langkah-langkah mitigasi.

“Penyerang kemudian dapat menginstal program, melihat, mengubah atau menghapus data, atau membuat akun baru dalam konteks yang diizinkan oleh hak pengguna.”

Blokir serangan yang mengeksploitasi CVE-2022-30190 dengan menonaktifkan penyalahgunaan URL MSDT oleh pihak jahat untuk meluncurkan alat pemecahan masalah dan eksekusi kode pada sistem yang rentan.

Kamu juga disarankan Untuk menonaktifkan panel pratinjau di Windows Explorer karena ini adalah vektor serangan lain yang dapat dieksploitasi saat target melihat pratinjau dokumen berbahaya.

Hari ini, CISA juga mendesak administrator dan pengguna untuk menonaktifkan protokol MSDT pada perangkat Windows mereka setelah Microsoft melaporkan eksploitasi aktif kerentanan ini di alam liar.

Serangan CVE-2022-30190 pertama terdeteksi lebih dari sebulan yang lalu menggunakan Ancaman pemerasan seksual Dan Undangan untuk wawancara Radio Sputnik sebagai lem.

Demikianlah uraianmengenai Windows MSDT Zero-Day sekarang sedang dieksploitasi oleh peretas APT Cina

. Jangan Lupa untuk
share artikel ini ya sobat.

Rujukan Artikel