Un gruppo di criminali informatici presumibilmente legati al governo cinese sta sfruttando attivamente una vulnerabilità zero-day in Microsoft Office nota come Follina per eseguire codice remoto su sistemi Windows attaccati.
La vulnerabilità CVE-2022-30190 esiste in Microsoft Windows Support Diagnostic Tool (MSDT) e interessa tutte le versioni client e server di Windows supportate da Microsoft.
Secondo gli esperti della società di sicurezza delle informazioni Proofpoint, il gruppo cinese APT TA413 sfrutta Follina per attaccare i suoi obiettivi preferiti: i tibetani.
Fingendosi il Dipartimento per i diritti delle donne dell’amministrazione centrale tibetana (utilizzando il dominio dell’app tibet-gov[.]web), gli aggressori distribuiscono archivi Zip con documenti Word dannosi. Quando una vittima apre un documento o la sua anteprima, il codice dannoso viene eseguito sul sistema della vittima tramite il protocollo MSDT.
Il ricercatore sulla sicurezza di MalwareHunterTeam ha trovato documenti DOCX con nomi cinesi utilizzati per installare trojan per il furto di dati tramite http://coolrat[.]xyz.
Lo sfruttamento riuscito della vulnerabilità consente agli aggressori di eseguire codice arbitrario con i privilegi dell’applicazione chiamante, come spiegato nella correzione di Microsoft.
Ciò consente loro di installare programmi, visualizzare, modificare ed eliminare i dati e creare nuovi account nel contesto privilegi dell’utente.
Gli amministratori possono bloccare i tentativi di sfruttare la vulnerabilità disabilitando il protocollo MSDT, utilizzato dagli hacker per eseguire uno strumento diagnostico ed eseguire codice sul sistema interessato.
Si consiglia inoltre di disabilitare l’anteprima in Esplora risorse poiché si tratta di un altro vettore di attacco.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.
Aree di competenza:Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks
C’è questa idea sbagliata, un po’ romantica volendo, per cui il ransomware è “roba da IT”: qualche server in crisi, due notti in bianco, poi si riparte e fine… La realtà, soprattutto per un’azienda quotata…
Nel precedente contributo abbiamo esplorato come la posizione di garanzia del professionista della cybersecurity si scontri con fattispecie classiche come l’accesso abusivo. Tuttavia, nella mia esperienza professionale e accademica, riscontro spesso una zona d’ombra ancora…
Ancora una volta Microsoft si è vista obbligata ad effettuare una rapida correzione di alcune falle. L’azienda ha rilasciato patch non programmate per Microsoft Office, risolvendo una pericolosa vulnerabilità zero-day già sfruttata in attacchi informatici.…
La recente scoperta di una vulnerabilità nella piattaforma AI di ServiceNow ha scosso profondamente il settore della sicurezza informatica. Questa falla, caratterizzata da un punteggio di gravità estremamente elevato, ha permesso ad aggressori non autenticati…
La scoperta è avvenuta casualmente: navigando sulla versione web mobile di Instagram, Jatin Banga ha notato che i contenuti di alcuni profili privati erano visibili senza alcuna autorizzazione. Analizzando il traffico dati, ha individuato la…
