يستغل المتسللون المدعومون من دولة الصين ثغرة أمنية غير مسبوقة في Microsoft Office تُعرف باسم Follina من اجل تنفيذ تعليمات برمجية ضارة عن بُعد عبر أنظمة Window . ويتم استخدام الثغرة عالية الخطورة - والتي يتم تتبعها كـ CVE-2022-30190 - في الهجمات من اجل تنفيذ أوامر PowerShell الضارة عبر Microsoft Diagnostics وذلك عند فتح أو معاينة مستندات Office المعدة خصيصًا .
يشير التحليل الحالي إلى أن Follina تؤثر على Office 2013 و 2016 و 2019 و 2021 و Office Pro Plus و Office 365و يعمل الخطأ بدون امتيازات مرتفعة ويتجاوز اكتشاف Windows Defender ولا يحتاج إلى رمز ماكرو من اجل ان يتم تمكينه لتنفيذ البرامج النصية .
ويمكن أن يتحايل الخلل أيضًا على ميزة العرض المحمي من Microsoft ، وهي عباره عن أداة Office تحذر من الملفات والمستندات التي يحتمل أن تكون ملفات او مستندات ضارة . وقد حذر الباحثون من أن تحويل المستند إلى ملف RTF قد يسمح ايضا للمهاجمين بتجاوز هذا التحذير . ويمكن أيضًا استغلال الثغرة الأمنية دون أي نقرات عن طريق تمرير مؤشر الماوس فوق الملف الذي تم تنزيله من اجل معاينته .
وحذر عملاق البرمجيات مايكروسوفت من أن الخلل قد سمح للمهاجمين بتثبيت البرامج وحذف البيانات وإنشاء حسابات جديدة ضمن السياق الذي تسمح به حقوق المستخدم . لاحظ باحثو الأمن السيبراني أن المتسللين يستغلون الثغرة الأمنية لاستهداف المستخدمين الروس والبيلاروسيين منذ أبريل .
- وقالت شركة Proofpoint لأمن المؤسسات : إن مجموعة قرصنة صينية ترعاها الدولة تستغل الضعف من اجل شن هجمات تستهدف المجتمع التبتي الدولي . وتستهدف مجموعة " TA413 " المنظمات التبتية من خلال استخدام الوظائف الإضافية للمستعرضات الضارة وحملات التجسس . تُعرف المجموعة أيضًا باسم LuckyCat و Earth Berberoka .
- ثغرة أمنية في Microsoft Office :
تلقت عملاق البرمجيات شركة Microsoft تقريرًا عن Follina في 12 أبريل ، وذلك بعد أن تم العثور على مستندات Word تستغل الخلل . ومع ذلك ، قال الباحث الذي أبلغ عن الخلل ان شركة: Microsoft قد صنفت الخلل في البداية على أنه ليس عباره عن مشكلة أمنية . وقد أبلغ عملاق البرمجيات الباحث لاحقًا أن تلك المشكلة قد تم حلها . لكن لا يبدو أن التصحيح متوفرا .
ولقد أصدرت عملاق البرمجيات شركة Microsoft إرشادات من اجل منع الهجمات التي تستغل CVE-2022-30190 وذلك عن طريق تعطيل بروتوكول MSDT URL ، إلى جانب لوحة المعاينة في مستكشف Windows . وأصدرت وكالة الأمن السيبراني والبنية التحتية الأمريكية تنبيهًا يحث المستخدمين والمسؤولين على القيام بمراجعة إرشادات الشركة وتنفيذ الحلول اللازمة لذلك .