سوءاستفاده هکرهای منتسب به دولت چین از آسیب‌پذیری جدید مایکروسافت آفیس

براساس تحقیقات Proofpoint، گروهی از هکرها موفق به کشف آسیب‌پذیری جدیدی در مایکروسافت آفیس شده‌اند. جزئیات به اشتراک گذاشته‌شده توسط شرکت امنیتی مذکور می‌گوید گروهی از هکرها به نام TA413 از این آسیب‌پذیری (که توسط محققان با عنوان «Follina» نامیده می‌شود)، در اسناد وردی (Word) که ظاهراً از اداره مرکزی تبت واقع در هند ارسال شده، استفاده می‌کرده‌اند. گمان می‌رود TA413 با دولت چین مرتبط باشد و قبلاً مشاهده شده بود که گروه مذکور جامعه تبعیدی تبت را هدف قرار می‌دهد.

براساس گزارش ورج، هکرهای چینی سابقه‌ی سوءاستفاده از نقص‌های امنیتی نرم‌افزاری برای هدف قرار دادن تبتی‌ها را دارند. گزارشی که توسط Citizen Lab در سال ۲۰۱۹ منتشر شد، از هدف قرار گرفتن گسترده‌ی شخصیت‌های سیاسی تبتی با نرم‌افزارهای جاسوسی خبر می‌داد. هکرها با روش‌های مختلفی از جمله مرورگر اندروید، لینک‌های مخرب ارسال‌شده ازطریق واتساپ و افزونه‌های مرورگر حملات خود را انجام می‌دادند.

آسیب‌پذیری مایکروسافت ورد برای اولین بار در ۲۷ مه مورد توجه گسترده قرار گرفت، زمانی که یک گروه تحقیقاتی امنیتی به نام Nao Sec در توییتر به بحث در مورد نمونه ارسال‌شده به سرویس اسکن بدافزار آنلاین VirusTotal پرداخت.

در پست وبلاگی که ۲۹ مه توسط کوین بومونت، محقق امنیتی، منتشر شد جزئیات بیشتری از این آسیب‌پذیری دردسترس قرار گرفت. براساس تجزیه و تحلیل وی، آسیب‌پذیری مذکور به فایل ورد مخرب اجازه می‌دهد فایل‌های HTML خاصی را از وب بارگیری و سپس دستورها PowerShell را اجرا کند.

تاکنون مایکروسافت پچ امنیتی رسمی منتشر نکرده تا آسیب‌پذیری مذکور را رفع کند و صرفاً گفته است برای کاهش خطر می‌توان ویژگی بارگیری URL ابزار MSDT را به‌صورت دستی غیرفعال کرد.

با توجه به استفاده‌ی گسترده از مایکروسافت آفیس و محصولات مرتبط، سطح حمله احتمالی وسیع است. تجزیه و تحلیل فعلی نشان می‌دهد که Follina بر آفیس ۲۰۱۳، ۲۰۱۶، ۲۰۱۹، ۲۰۲۱، Office ProPlus و Office 365 تأثیر می‌گذارد.