Нашумевшая 0-day уязвимость Office уже использовалась для атак на Россию, Беларусь и Тибет

В понедельник Microsoft опубликовала руководство по устранению уязвимости нулевого дня в документах Microsoft Word, которые уже используются в атаках. Исправление еще не доступно, но компания заявила, что уязвимость удаленного выполнения кода позволяет злоумышленнику «устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи». Уязвимость CVE-2022-30190 находится в средстве диагностики Microsoft Support Diagnostic Tool (MSDT) и уже используется несколькими правительственными хакерами.

Проблема была впервые обнаружена в дипломной работе бакалавра в августе 2020 года, но Microsoft сообщила о ней 21 апреля 2022 года после того, как глава компании Shadow Chaser Group отправил компании документ, ориентированный на российских пользователей.

Проблема вновь всплыла 27 мая, когда исследователь Nao_sec обнаружил вредоносный документ Word, нацеленного на жителей Беларуси. После этого Microsoft выпустила руководство по устранению уязвимости.

Также по заявлению компании Proofpoint, хакерская группа, спонсируемая правительством Китая, использовала 0-day уязвимость в атаках на Правительство Тибета в изгнании. Злоумышленники выдавали себя за «Отдел по расширению прав и возможностей женщин» Центральной тибетской администрации.

Согласно заявлению фирмы Huntress, эксплойт «может быть запущен при предварительном просмотре загруженного файла, который не требует никаких кликов (после загрузки)». «Это атака нулевого дня, которая возникла из ниоткуда, и в настоящее время для нее нет доступного исправления. Доступные меры по смягчению последствий — это запутанные обходные пути, влияние которых у отрасли не было времени изучить», - добавили в Huntress.