与中国有关的黑客正在利用Microsoft Office中的一个新漏洞

根据安全公司Proofpoint的威胁分析研究，与中国政府有关的黑客已经在利用微软Office中新发现的一个漏洞。

Proofpoint在推特上分享的详细信息表明，一个名为TA413的黑客组织在恶意Word文档中使用了该漏洞（研究人员称之为“Follina”），据称该漏洞是由总部位于印度达兰萨拉的西藏流亡政府中央西藏管理局发送的。TA413集团是一个APT，或“高级持续威胁”，据信与中国政府有关，此前曾被观察到针对西藏流亡社区。

总的来说，中国黑客有使用软件安全漏洞攻击藏人的历史。公民实验室（Citizen Lab）2019年发布的一份报告记录了间谍软件对西藏政治人物的广泛攻击，包括通过Android浏览器漏洞攻击和通过WhatsApp发送的恶意链接。浏览器扩展也已为此目的进行了武器化，此前来自Proofpoint的分析发现，有人使用恶意Firefox插件来监视西藏激进分子。

5月27日，当一个名为Nao Sec的安全研究小组在推特上讨论提交给在线恶意软件扫描服务VirusTotal的样本时，Microsoft Word漏洞首次受到广泛关注。Nao Sec在推特上标记恶意代码是通过Microsoft Word文档传递的，这些文档最终被用于通过PowerShell执行命令，PowerShell是一种功能强大的Windows系统管理工具。

在5月29日发布的一篇博客文章中，研究人员凯文·博蒙特（KevinBeaumont）分享了该漏洞的更多细节。根据Beaumont的分析，该漏洞允许恶意制作的Word文档从远程Web服务器加载HTML文件，然后通过劫持Microsoft支持诊断工具（MSDT）执行PowerShell命令，该工具通常收集有关Microsoft应用程序崩溃和其他问题的信息。

微软现已承认该漏洞，正式名称为CVE-2022-30190，但有报道称，之前曾试图通知微软该漏洞的尝试被驳回。

根据微软自己的安全响应博客，能够利用该漏洞的攻击者可以在受损系统上安装程序、访问、修改或删除数据，甚至创建新的用户帐户。到目前为止，Microsoft尚未发布正式补丁，但针对该漏洞提供了缓解措施，包括手动禁用MSDT工具的URL加载功能。

由于Microsoft Office及其相关产品的广泛使用，该漏洞的潜在攻击面很大。当前分析表明，福利纳影响Office 2013、2016、2019、2021、Office ProPlus和Office 365；而且，截至周二，美国网络安全和基础设施安全局（US Cybersecurity and Infrastructure Security Agency）敦促系统管理员实施微软的减少利用漏洞指导。