Follina 0day για Windows: το exploit κυκλοφορεί ήδη, τι πρέπει να κάνετε

Ορισμένες ευρωπαϊκές κυβερνήσεις ήταν οι στόχοι μιας εκστρατείας ηλεκτρονικού ψαρέματος που χρησιμοποιεί κακόβουλα έγγραφα εμπλουτισμένου κειμένου (RTF από το Rich Text Format). Τα συγκεκριμένα έγγραφα είχαν σχεδιαστεί για την εκμετάλλευση μιας κρίσιμης ευπάθειας των Windows (zero-day) γνωστή σαν Follina.

0day bw

“Η Proofpoint μπλόκαρε μια ύποπτη καμπάνια phishing που προσπαθούσε να εκμεταλλευτεί το Follina/CVE_2022_30190“, αποκάλυψαν ερευνητές ασφαλείας της εταιρείας Proofpoint.
Οι επιτιθέμενοι χρησιμοποίησαν υποσχέσεις αύξησης μισθού για να κάνουν τους υπαλλήλους να ανοίξουν τα έγγραφα που περιείχαν ένα κακόβουλο Powershell script.

Με το PowerShell script αυτής της επίθεσης, οι επιτιθέμενοι καταφέρνουν να συγκεντρώνουν μεγάλες ποσότητες πληροφοριών:

Κωδικοί πρόσβασης από προτα περιήγησης: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Yandex, Vivaldi, CentBrowser, Comodo, CheDot, Orbitum, Chromium, Slimjet, Xvast, Kinza, , CocCoc και AVAST Browser.

Δεδομένα από άλλες εφαρμογές: Mozilla Thunderbird, Netsarang session files, Windows Live Mail contacts, Filezilla passwords, ToDesk configuration file, WeChat, Oray SunLogin RemoteClient, MailMaster, ServU, Putty, FTP123, WinSCP, RAdmin, Microsoft Office, Navicat
Πληροφορίες από τα Windows: Πληροφορίες , λίστα ονομάτων χρηστών, πληροφορίες domain των Windows

Η Proofpoint υποπτεύεται ότι αυτή η εκστρατεία τρέχει από κάποια κυβέρνηση.

Το κενό ασφαλείας που χρησιμοποιείται σε αυτές τις επιθέσεις παρακολουθείται σαν CVE-2022-30190 και το Redmond το αναφέρει σαν σφάλμα απομακρυσμένης εκτέλεσης κώδικα στο διαγνωστικό εργαλείο υποστήριξης των Microsoft Windows (MSDT από το Microsoft Windows Support Diagnostic Tool).

Το CVE-2022-30190 εξακολουθεί να μην έχει επιδιορθωθεί και επηρεάζει όλες τις εκδόσεις των Windows που εξακολουθούν να λαμβάνουν ενημερώσεις ασφαλείας (δηλαδή, Windows 7+ και Server 2008+).

Ενώ η Microsoft δεν έχει ακόμη κυκλοφορήσει ενημερώσεις που επιδιορθώνουν την ευπάθεια CVE-2022-30190, η CISA προτρέπει τους διαχειριστές και τους χρήστες των Windows να απενεργοποιήσουν το πρωτόκολλο MSDT που χρησιμοποιείται σε αυτές τις επιθέσεις, αφού το exploit κυκλοφορεί ήδη στο διαδίκτυο.

Μέχρι να κυκλοφορήσει η Microsoft επίσημες ενημερώσεις ασφαλείας, μπορείτε να επιδιορθώσετε τα συστήματά σας χρησιμοποιώντας ανεπίσημες ενημερώσεις που κυκλοφορούν από την micropatching 0patch (απαιτείται και δεν το συνιστούμε).

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).