أصدرت شركة مايكروسوفت التحديثات الأمنية الجديدة لنظام ويندوز لشهر يونيو 2022 التي تصحح ثغرة أمنية خطيرة في نظام التشغيل تعرف باسم Follina ويتم استغلالها بنشاط في الهجمات المستمرة.
وقالت الشركة: توصي مايكروسوفت بشدة العملاء بتثبيت التحديثات للحماية الكاملة من الثغرة الأمنية. ولا يحتاج العملاء الذين تم إعداد أنظمتهم لتلقي التحديثات التلقائية إلى اتخاذ أي إجراء آخر.
كما حثت الشركة العملاء من خلال منشور عبر مركز استجابة أمان مايكروسوفت على تثبيت التحديثات في أسرع وقت.
وتم تتبعها باعتبارها CVE-2022-30190، وقد وصفت مايكروسوفت الثغرة الأمنية على أنها خطأ في تنفيذ التعليمات البرمجية عن بعد لأداة تشخيص دعم ويندوز الذي يؤثر في جميع إصدارات ويندوز التي لا تزال تتلقى تحديثات الأمان.
ويمكن للمهاجمين الذين يستغلون هذه الثغرة بنجاح تنفيذ تعليمات برمجية عشوائية مع امتيازات التطبيق لتثبيت البرامج أو عرض البيانات أو تغييرها أو حذفها.
كما أنها تسمح للمهاجمين بإنشاء حسابات ويندوز جديدة على النحو الذي تسمح به حقوق المستخدم المعرض للخطر.
علاوة على ذلك تسمح عمليات استغلال Follina للمهاجمين بتنفيذ أوامر PowerShell الضارة عبر أداة تشخيص دعم ويندوز فيما تصفه مايكروسوفت بهجمات تنفيذ التعليمات البرمجية التعسفية عند فتح مستندات وورد أو معاينتها.
ولا يمنع التصحيح أوفيس من التحميل التلقائي لمعالجات بروتوكول Windows URI دون تدخل المستخدم. ولكن يمنع حقن PowerShell ويعطل طريقة الهجوم هذه.
مايكروسوفت تصلح خطأ أمني كبير
تم استغلال ثغرة Follina الأمنية في الهجمات لفترة من قبل الجهات المدعومة من الدولة والجرائم الإلكترونية ذات الأهداف المختلفة.
واستغلت مجموعة القرصنة الصينية TA413 الخطأ في الهجمات التي تستهدف الشتات التبتي. كما استخدمته مجموعة ثانية متحالفة مع الدولة في هجمات التصيد الاحتيالي ضد الوكالات الحكومية في الولايات المتحدة والاتحاد الأوروبي.
وتستغل Follina الآن أيضًا بواسطة مجموعة TA570 في حملات التصيد الاحتيالي لإصابة المستلمين ببرامج Qbot.
وبدأت الهجمات الأولى التي تستغل هذا الخلل في منتصف شهر أبريل. وذلك من خلال تهديدات بالابتزاز الجنسي ودعوات لإجراء مقابلات عبر إذاعة سبوتنيك كطعم.
وحثت وكالة الأمن السيبراني وأمن البنية التحتية أيضًا مسؤولي ويندوز والمستخدمين على تعطيل بروتوكول أداة تشخيص دعم ويندوز الذي تم إساءة استخدامه في هذه الهجمات. وذلك في ضوء تقارير مايكروسوفت عن الاستغلال النشط للخطأ.
وقال الباحث الأمني الذي أبلغ فريق أمان مايكروسوفت عن الثغرة في شهر أبريل إن الشركة رفضت تقديمه الأولي ووصفته بأنه ليس قضية أمنية.
ومع ذلك، وفقًا للباحث، أغلق مهندسو مايكروسوفت لاحقًا تقرير إرسال الخطأ مع وصفه بأنه مشكلة تنفيذ التعليمات البرمجية عن بعد.