中国黑客开始利用最新的Microsoft Office零日漏洞

据观察，一位与中国国家利益相一致的高级持续威胁（APT）参与者将Microsoft Office中的新零日漏洞武器化，以在受影响的系统上执行代码。

企业安全公司Proofpoint在推特上表示：“TA413 CN APT发现（在野外）利用Follina zero day，使用URL传递包含使用该技术的Word文档的ZIP档案。”

“这些活动冒充了藏人行政中央的‘妇女赋权服务台’，并使用了 tibet-gov.web[.]app 域名。”

TA413最为人所知的是其针对藏族散居者的宣传活动，提供诸如流放鼠和坟墓等植入物，以及名为FriarFox的流氓Firefox浏览器扩展。

该高度严重的安全漏洞被称为Follina，追踪编号为CVE-2022-30190（CVSS分数：7.8），与远程代码执行案例有关，该案例滥用“ms msdt：”协议URI方案来执行任意代码。

具体而言，该攻击使得威胁参与者可以通过简单地将文档更改为RTF文件来规避可疑文件的受保护视图保护，从而允许运行注入的代码，而无需通过Windows文件资源管理器中的预览窗格打开文档。

尽管该漏洞上周引起了广泛关注，但有证据表明，一个多月前，2022年4月12日，当该漏洞被披露给微软时，在针对俄罗斯用户的真实攻击中，该漏洞被积极利用。

然而，该公司并不认为这是一个安全问题，并关闭了漏洞提交报告，理由是MSDT实用程序需要技术支持人员提供的密钥才能执行有效负载。

该漏洞存在于所有当前支持的Windows版本中，可通过Microsoft Office版本Office 2013至Office 21和Office Professional Plus版本进行攻击。

Malwarebytes的JeromeSegura指出：“这种优雅的攻击旨在绕过安全产品，利用Microsoft Office的远程模板功能和ms msdt协议来执行恶意代码，而无需宏。”

虽然目前还没有官方补丁可用，但Microsoft建议禁用MSDT URL协议以防止攻击向量。此外，建议关闭文件资源管理器中的预览窗格。

Immersive Labs的尼古拉斯·塞梅里克（NikolasCemerikic）说：“让‘Follina’脱颖而出的是，这种利用漏洞的方法并没有利用Office宏，因此，即使在宏完全禁用的环境中，它也能工作。”

“要使该漏洞生效，用户只需打开并查看Word文档，或使用Windows资源管理器预览窗格查看文档的预览。由于后者不需要Word完全启动，因此这实际上成为一种零点击攻击。”