קבוצה סינית מנצלת חולשה באופיס כדי לתקוף יעדים טיבטיים

קבוצת האקרים שמקושרת לממשל הסיני מנצלת בימים אלה פגיעות יום אפס בערכת האופיס של מיקרוסופט כדי לבצע מתקפות קוד מרושע מרחוק. הקבוצה משתמשת, ככל הידוע, בפגם בכלי התמיכה מרחוק של מיקרוסופט, MSDT, שקיים כנראה בכל הגרסאות הנתמכות עדיין של מערכת ההפעלה.

המומחים גילו את הפגיעות כבר באפריל, אולם דבר קיומה פורסם רק לפני ימים אחדים. הם ציינו שבהתחלה מיקרוסופט לא התייחסה ברצינות של ממש לדיווח שלהם על הפגיעות שנמצאה, ורק מאוחר יותר, אחרי שהתברר שהיא כבר מנוצלת, שינתה את הסטטוס לאפשרות הפעלת קוד מרושע מרחוק.

קבוצת המחקר שזיהתה את הפגיעות, Shadow Chaser Group, מסרה כי קבוצת ההאקרים TA413 APT ניצלה את החולשה הזו כדי לתקוף את הקהילה הטיבטית – שהיא היעד ה-"חביב" עליה. טיבט, כזכור, שואפת לעצמאות מסין. הפגיעות ב-MSDT מנוצלת בעת צפייה בקובץ וורד שמועבר בקובץ מכווץ בפרוטוקול ZIP, או פתיחתו.

"תוקף שמצליח לנצל את הפגיעות הזו יכול להריץ קוד שרירותי עם ההרשאות של האפליקציה המתקשרת", הסבירה מיקרוסופט בהנחיה חדשה. "לאחר מכן, התוקף יכול להתקין תוכניות, להציג, לשנות או למחוק נתונים, או ליצור חשבונות חדשים בהקשר המותר על פי זכויות המשתמש".

בנוסף, ממליצה מיקרוסופט, עד למציאת הפתרון, לבטל את האפשרות לראות את התוכן של קבצים בחלונות סייר הקבצים, כי מדובר בווקטור נוסף שבאמצעותו ניתן לנצל את הפגיעות הזו.