微软Office(以及微软Windows)中的一个“零日”漏洞正被中国官方支持的黑客用来攻击藏人。该漏洞的利用方式已 被发现。“零日”攻击是网络安全术语,指任何未修复或先前未知的利用。它们对黑客特别有用,因为防病毒软件和其他软件防御措施对其无效。目前,如果您在任何现代版本的Office中打开一个受感染的Word文档,其中嵌入的代码就会运行。
威胁分析公司Proofpoint称,一个名为TA413的中国黑客组织正利用近期报告的“Follina”漏洞攻击藏族国民。此次攻击嵌入在一个恶意的Word文档中,该文档冒充是印度达兰萨拉的 西藏中央行政当局(西藏流亡政府)的“妇女赋权办公室”发送的。这不是中国黑客首次攻击藏族团体:2019年 Citizen Lab的一份报告 就曾指出,追溯到十多年前的许多类似案例。
除了藏族,今年四月以来,“Follina”感染的Word文档已在俄罗斯和印度地区被发现,其目标人群包括这两个国家的人员。
根据安全研究员Kevin Beaumont(他为该漏洞命名为“Follina”并设计了一个 恰如其分的糟糕标志)的说法,该漏洞利用Word的远程模板功能从远程Web服务器获取HTML文件,然后劫持Microsoft Support Diagnostic Tool (MSDT) 以在PowerShell中下载并执行代码。
由于该漏洞利用的是支持工具MSDT,因此即使 宏被禁用(这是Office中一个常用的、允许应用程序运行外部代码的功能),它也能工作。同样,通过使用RTF(富文本格式)文档(这是Word可以默认打开的另一种文档格式),也可以绕过“受保护视图”安全功能。您可以在上面的视频中看到它的实际运行效果。该非恶意概念验证的设置是在文档加载后立即打开计算器应用程序。
正如Beaumont所写:“这本不应该发生。”他指出了该漏洞的两个独立问题:Office如何处理HTML Word模板和Outlook链接的加载,以及MSDT允许这种代码执行。
目前,该漏洞存在于几乎所有现代版本的Office中。研究人员已在Office 2013、2016、2019、2021、Office ProPlus和Office 365中演示了该漏洞,并且由于可以使用.lnk文件(操作系统用于打开其他文件、文件夹或应用程序的文件)来调用它,因此它也存在于Windows系统中。
微软 已承认该问题(将其命名为不太吸引人的“CVE-2022-30190”),并发布了一个解决方法,要求用户禁用该漏洞使用的MSDT URL协议,以加载PowerShell代码。可以推测,其安全工程师正在努力开发一个完整的补丁。
不幸的是,微软安全响应中心(MSRC)对“Follina”的响应似乎有些迟缓。该攻击的原理最早发表在2020年的学士论文中,并且在2021年,他们修复了 Microsoft Teams中一个类似的漏洞。 在四月中旬提交给MSRC的报告 被驳回,该漏洞被判定为“ 与安全无关的问题”。
直到安全供应商Nao Sec在5月27日发布了在白俄罗斯发现的该漏洞的示例,并在5月29日由Beaumont进行分析和命名后,微软才公开承认这是一个零日漏洞。
在“Follina”被完全修复之前,我们建议谨慎打开来自未知来源的Word文档。如果您担心成为攻击目标(或者是一名管理员,希望确保其下属不会意外运行任何恶意代码),您也可以遵循 微软的缓解措施建议。
这只是另一个例子,说明了 理论上的漏洞 如何从研究实验室走向现实世界。虽然及时更新安全补丁至关重要,但这并不能保护您免受所有可能的攻击。在国际网络安全和国家支持的黑客领域,保持警惕是唯一的选择。
不过,这种警惕也会得到回报。就在本周, FBI局长克里斯托弗·雷宣布,他的部门成功挫败了一起伊朗政府支持的对波士顿儿童医院的网络攻击。据美联社报道,FBI从一个未指明的国家情报伙伴那里获悉了此次袭击,并向医院提供了有助于其应对威胁的信息(可能包括安全补丁或其他形式的软件缓解措施)。
