Aktor ancaman persisten tingkat lanjut (APT) yang selaras dengan kepentingan negara China telah diamati mempersenjatai kelemahan zero-day baru di Microsoft Office untuk mencapai eksekusi kode pada sistem yang terpengaruh.
“TA413 CN APT terlihat [in-the-wild] mengeksploitasi Follina zero-day menggunakan URL untuk mengirimkan arsip ZIP yang berisi Dokumen Word yang menggunakan teknik tersebut,” firma keamanan perusahaan Proofpoint dikatakan dalam sebuah tweet.
“Kampanye meniru ‘Meja Pemberdayaan Wanita’ dari Administrasi Tibet Pusat dan menggunakan domain tibet-gov.web[.]aplikasi.”
TA413 terkenal karena kampanyenya yang ditujukan pada diaspora Tibet untuk mengirimkan implan seperti Exile RAT dan Sepulcher serta ekstensi peramban Firefox yang dijuluki FriarFox.
Cacat keamanan tingkat tinggi, dijuluki Follina dan dilacak sebagai CVE-2022-30190 (skor CVSS: 7.8), terkait dengan kasus eksekusi kode jarak jauh yang menyalahgunakan skema URI protokol “ms-msdt:” untuk mengeksekusi kode arbitrer.
Secara khusus, serangan tersebut memungkinkan pelaku ancaman untuk menghindari perlindungan Protected View untuk file yang mencurigakan hanya dengan mengubah dokumen ke file Rich Text Format (RTF), sehingga memungkinkan kode yang disuntikkan untuk dijalankan bahkan tanpa membuka dokumen melalui Panel Pratinjau di Windows File Explorer.
Sementara bug mendapat perhatian luas minggu lalu, bukti menunjukkan eksploitasi aktif dari kelemahan alat diagnostik dalam serangan dunia nyata yang menargetkan pengguna Rusia lebih dari sebulan yang lalu pada 12 April 2022, ketika diungkapkan ke Microsoft.
Perusahaan, bagaimanapun, tidak menganggapnya sebagai masalah keamanan dan menutup laporan pengiriman kerentanan, dengan alasan bahwa utilitas MSDT memerlukan kunci sandi yang disediakan oleh teknisi dukungan sebelum dapat mengeksekusi muatan.
Kerentanan ada di semua versi Windows yang saat ini didukung dan dapat dieksploitasi melalui versi Microsoft Office Office 2013 hingga edisi Office 21 dan Office Professional Plus.
“Serangan elegan ini dirancang untuk melewati produk keamanan dan terbang di bawah radar dengan memanfaatkan fitur template jarak jauh Microsoft Office dan protokol ms-msdt untuk mengeksekusi kode berbahaya, semuanya tanpa perlu makro,” kata Jerome Segura dari Malwarebytes.
Meskipun tidak ada patch resmi yang tersedia pada saat ini, Microsoft telah merekomendasikan untuk menonaktifkan protokol URL MSDT untuk mencegah vektor serangan. Selain itu, sudah disarankan untuk mematikan Panel Pratinjau di File Explorer.
“Apa yang membuat ‘Follina’ menonjol adalah bahwa eksploitasi ini tidak memanfaatkan makro Office dan, oleh karena itu, ia berfungsi bahkan di lingkungan di mana makro telah dinonaktifkan seluruhnya,” kata Nikolas Cemerikic dari Immersive Labs.
“Semua yang diperlukan untuk mengeksploitasi agar berlaku adalah bagi pengguna untuk membuka dan melihat dokumen Word, atau untuk melihat pratinjau dokumen menggunakan Windows Explorer Preview Pane. Karena yang terakhir tidak memerlukan Word untuk diluncurkan sepenuhnya, ini secara efektif menjadi serangan tanpa klik.”
