Нашумевшая 0-day уязвимость Office уже использовалась для атак на Россию, Беларусь и Тибет

В понедельник Microsoft опубликовала руководство по устранению уязвимости нулевого дня в документах Microsoft Word, которые уже используются в атаках. Исправление еще не доступно, но компания заявила, что уязвимость удаленного выполнения кода позволяет злоумышленнику «устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи». Уязвимость CVE-2022-30190 находится в средстве диагностики Microsoft Support Diagnostic Tool (MSDT) и уже используется несколькими правительственными хакерами.

Проблема была впервые обнаружена в дипломной работе бакалавра в августе 2020 года, но Microsoft сообщила о ней 21 апреля 2022 года после того, как глава компании Shadow Chaser Group отправил компании документ, ориентированный на российских пользователей.

Проблема вновь всплыла 27 мая, когда исследователь Nao_sec обнаружил вредоносный документ Word, нацеленного на жителей Беларуси. После этого Microsoft выпустила руководство по устранению уязвимости.

Также по заявлению компании Proofpoint , хакерская группа, спонсируемая правительством Китая, использовала 0-day уязвимость в атаках на Правительство Тибета в изгнании . Злоумышленники выдавали себя за «Отдел по расширению прав и возможностей женщин» Центральной тибетской администрации.

Согласно заявлению фирмы Huntress , эксплойт «может быть запущен при предварительном просмотре загруженного файла, который не требует никаких кликов (после загрузки)». «Это атака нулевого дня, которая возникла из ниоткуда, и в настоящее время для нее нет доступного исправления. Доступные меры по смягчению последствий — это запутанные обходные пути, влияние которых у отрасли не было времени изучить», - добавили в Huntress.