資安通報編號 CVE-2022-30190 的微軟 Office「Follina」漏洞,雖然被通用漏洞評分系統(CVSS)評定為 7.8 分高風險,但微軟除了在 5 月底曾發布權宜應變措施之外,直到現在都沒有發布任何更新修補程式。如今,這個遲遲未見修補的漏洞已被國家贊助駭客看中,並用來做為攻擊歐美政府機構的絕佳利器。
目前網路上已經出現利用這個遠端程式碼執行漏洞的惡意攻擊活動,這類型的攻擊嘗試也成功被企業安全方案商 Proofpoint 封鎖,該公司並從中發現,駭客將超過 1,000 筆內含誘餌文件的網路釣魚訊息發送給目標機構。
駭客不但假藉加薪名義,並從 45.76.53.253 下載內含漏洞攻擊負載封包的 RTF 格式文件進行攻擊。以 PowerShell 腳本形式顯示的這個負載封包,採取 Base-64 編碼並扮演下載器的角色,以便從名為「seller-notification.live」的遠端伺服器上取得第二支 PowerShell 腳本。
該腳本接著會檢查虛擬化、從本地端瀏覽器、郵件用戶及檔案服務上竊取資訊、執行機器偵察,然後再將其壓縮成為 ZIP 檔,並發送至 45.77.156.179 上。值得一提的,這次國家贊助駭客攻擊事件是從中國駭客組織 TA413 展開積極的漏洞攻擊開始的,該組織在攻擊中傳送了內含惡意 Word 文件的攻擊性 ZIP 壓縮檔。
面對遲遲未發布的微軟官方安全更新,資安業者 0patch 搶先發布非官方的更新修補程式,讓飽受微軟 Windows 支援診斷工具(Microsoft Windows Support Diagnostic Tool,MSDT)漏洞攻擊危險的所有 Windows 系統,不再受到持續不斷的惡意攻擊。
(首圖來源:Microsoft)
科技新報粉絲團
加入好友
訂閱免費電子報
