Microsoft ได้เผยแพร่การอัปเดตด้านความปลอดภัยบน Windows ในรอบเดือนมิถุนายน 2565 เพื่อแก้ไขช่องโหว่ระดับ Critical บน Windows ที่ถูกเรียกว่า Follina และกำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง
"Microsoft แนะนำให้ผู้ใช้งานอัปเดตแพตช์เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว แต่หากมีการตั้งค่าให้มีการอัปเดตแพตช์เองโดยอัตโนมัติ ผู้ใช้งานไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติมอีก" Microsoft ระบุในคำแนะนำการอัปเดต
ช่องโหว่หมายเลข CVE-2022-3019 เป็นช่องโหว่ด้านความปลอดภัยในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Microsoft Windows Support Diagnostic Tool (MSDT) ที่ส่งผลกระทบกับ Windows ทุกเวอร์ชัน
ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตราย เพื่อติดตั้งโปรแกรม ดู เปลี่ยนแปลง หรือลบข้อมูล หรือแม้แต่สร้างบัญชี Windows ใหม่ได้
นักวิจัยด้านความปลอดภัย nao_sec เป็นผู้พบช่องโหว่ดังกล่าว ที่พบว่าผู้โจมตีจะสามารถสั่งรัน PowerShell ที่เป็นอันตรายผ่าน MSDT โดยที่ Microsoft อธิบายว่าเป็นการโจมตีในรูปแบบ Arbitrary Code Execution (ACE) เมื่อเปิด หรือ preview เอกสาร Word
การอัปเดตในครั้งไม่ได้ป้องกัน Microsoft Office จากการโหลด Windows protocol URI handler โดยอัตโนมัติ แต่จะใช้วิธีบล็อกการทำงานจาก PowerShell injection เพื่อปิดช่องทางการโจมตีในรูปแบบนี้
พบการโจมตีอย่างต่อเนื่อง
ช่องโหว่ Follina ถูกใช้ในการโจมตีมาระยะหนึ่งแล้ว ตามที่นักวิจัยด้านความปลอดภัยของ Proofpoint เปิดเผยว่ากลุ่มแฮ็กเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ในการโจมตีที่กำหนดเป้าหมายไปยังชาว Tibetan และกลุ่มผู้โจมตีบางกลุ่มก็ใช้การโจมตีแบบฟิชชิงกับหน่วยงานรัฐบาลสหรัฐฯ และสหภาพยุโรป
ตอนนี้ช่องโหว่ Follina กำลังถูกใช้โดยกลุ่ม TA570 ซึ่งใช้แคมเปญฟิชชิ่งจากช่องโหว่ดังกล่าวเพื่อแพร่กระจายมัลแวร์ Qbot
CrazymanArmy ของ Shadow Chaser Group นักวิจัยด้านความปลอดภัยที่เคยรายงาน Zero-day ดังกล่าวไปให้กับ Microsoft ในเดือนเมษายนที่ผ่านมาระบุว่า Microsoft ปฏิเสธการแจ้งเตือนในครั้งแรกของเขาว่าไม่ใช่ช่องโหว่ด้านความปลอดภัย แต่สุดท้ายหลังจากมีการปิดหัวข้อการแจ้งเตือนดังกล่าว ระบบของ Microsoft กลับระบุว่าการแจ้งเตือนของเขาเป็นช่องโหว่แบบ Remote code execution
ที่มา: bleepingcomputer.com