A Proofpoint revelou uma campanha, bastante direccionada - apenas para uma dezena de empresas - que tira partido de uma vulnerabilidade designada por Follina.
O elevado factor de risco desta falha é que, ao contrário das habituais, que depende da vítima abrir um documento do MS Office incluído como anexo e permitir a execução de macros, neste caso trata-se de um simples documento de texto RTF que nem sequer tem que ser aberto pelo utilizador. O simples processo de pré-visualização feito pelo Windows é suficiente para desencadear a infecção.
This campaign masqueraded as a salary increase and utilized an RTF (242d2fa02535599dae793e731b6db5a2) with the exploit payload downloaded from 45.76.53[.]253. pic.twitter.com/dMntXwouWP
— Threat Insight (@threatinsight) June 3, 2022
This script checks for virtualization, steals information from local browsers, mail clients and file services, conducts machine recon and then zips it for exfil to 45.77.156[.]179.
— Threat Insight (@threatinsight) June 3, 2022
O script verifica se a vítima está a correr em ambiente com virtualização, rouba dados dos browsers e programas de email, faz um reconhecimento genérico da máquina, e depois cria um relatório final comprimido pronto para ser enviado para os atacantes.
A Proofpoint critica a MS de, tendo em conta a gravidade da vulnerabilidade, até à data nem sequer ter dito quando (ou se!) se poderá esperar uma correcção de segurança.
De resto, fica o alerta, para saberem que mesmo não se abrindo um documento em anexo, é possível mesmo assim ficar-se com o sistema infectado.
Muito alarmante mesmo.
ResponderEliminarE se há coisa que me tira do sério nas novas versões do Windows é esta predefinição do sistema operativo em colocar a previsão do conteúdo dos ficheiros no Explorador de Ficheiros do Windows.
A trabalheira que isto me dá: estar constantemente a passar o modo de visualização de ficheiros de "previsão" para "detalhes".
Chato e cansativo.