Ключови изводи
- Нова атака с нулево щракване на Windows, която може да компрометира машини без никакви потребителски действия, е наблюдавана в природата.
- Microsoft призна за проблема и представи стъпки за коригиране, но грешката все още няма официална корекция.
- Изследователите по сигурността виждат, че грешката се използва активно и очакват повече атаки в близко бъдеще.
Хакери са намерили начин да проникнат в компютър с Windows просто чрез изпращане на специално създаден злонамерен файл.
Наречен Follina, бъгът е доста сериозен, тъй като може да позволи на хакерите да поемат пълен контрол върху всяка Windows система само чрез изпращане на модифициран документ на Microsoft Office. В някои случаи хората дори не трябва да отварят файла, тъй като визуализацията на файла в Windows е достатъчна, за да задейства неприятните моменти. За отбелязване е, че Microsoft призна грешката, но все още не е пуснала официална корекция, за да я анулира.
"Тази уязвимост все още трябва да е в горната част на списъка с неща, за които трябва да се тревожите," д-р Йоханес Улрих, декан на изследванията към SANS Technology Institute, пише в седмичния бюлетин на SANS. „Въпреки че доставчиците на анти-злонамерен софтуер бързо актуализират сигнатури, те са недостатъчни за защита срещу широка гама експлойти, които могат да се възползват от тази уязвимост.“
Визуализация за компромис
Заплахата беше забелязана за първи път от японски изследователи по сигурността към края на май благодарение на злонамерен документ на Word.
Изследователят по сигурността Кевин Бомонт разкри уязвимостта и откри, че.doc файлът зарежда фалшива част от HTML код, който след това извиква инструмента за диагностика на Microsoft, за да изпълни код на PowerShell, който на свой ред изпълнява злонамерения полезен товар.
Windows използва инструмента за диагностика на Microsoft (MSDT), за да събира и изпраща диагностична информация, когато нещо се обърка с операционната система. Приложенията извикват инструмента, използвайки специалния MSDT URL протокол (ms-msdt://), който Follina цели да използва.
"Този експлойт е планина от експлойтове, подредени един върху друг. За съжаление обаче е лесно да се пресъздаде и не може да бъде открит от антивирусната програма", пишат привърженици на сигурността в Twitter.
В имейл дискусия с Lifewire, Nikolas Cemerikic, инженер по киберсигурност в Immersive Labs, обясни, че Follina е уникален. Той не следва обичайния път на злоупотреба с офис макроси, поради което дори може да причини хаос на хора, които са деактивирали макроси.
"В продължение на много години имейл фишингът, съчетан със злонамерени документи на Word, е най-ефективният начин за получаване на достъп до системата на потребителя," посочи Cemerikic. „Рискът сега се увеличава от атаката на Follina, тъй като жертвата трябва само да отвори документ или в някои случаи да прегледа визуализацията на документа през прозореца за визуализация на Windows, като същевременно премахва необходимостта от одобряване на предупреждения за сигурност.“
Microsoft бързо представи някои стъпки за коригиране, за да смекчи рисковете, породени от Follina. „Наличните смекчаващи мерки са объркващи заобиколни решения, за които индустрията не е имала време да проучи въздействието“, пише Джон Хамънд, старши изследовател по сигурността в Huntress, в блога на компанията за дълбоко гмуркане относно грешката. „Те включват промяна на настройките в системния регистър на Windows, което е сериозна работа, защото неправилен запис в системния регистър може да блокира вашата машина.“
Тази уязвимост все още трябва да е в горната част на списъка с неща, за които да се тревожите.
Въпреки че Microsoft не е пуснала официална корекция за отстраняване на проблема, има неофициална такава от проекта 0patch.
Говорейки за корекцията, Митя Колсек, съосновател на проекта 0patch, написа, че въпреки че би било лесно да се деактивира напълно инструмента за диагностика на Microsoft или да се кодират стъпките за коригиране на Microsoft в кръпка, проектът отиде за различен подход, тъй като и двата подхода биха повлияли отрицателно върху работата на инструмента за диагностика.
Току-що започна
Доставчиците на киберсигурност вече са започнали да виждат, че пропускът се използва активно срещу някои високопоставени цели в САЩ и Европа.
Въпреки че всички настоящи експлойти в дивата природа изглежда използват документи на Office, Follina може да бъде злоупотребяван чрез други вектори на атака, обясни Cemerikic.
Обяснявайки защо вярва, че Follina няма да изчезне скоро, Cemerikic каза, че както при всеки голям експлойт или уязвимост, хакерите в крайна сметка започват да разработват и пускат инструменти, за да подпомогнат усилията за експлоатация. Това по същество превръща тези доста сложни експлойти в атаки с посочване и щракване.
"Вече не е необходимо нападателите да разбират как работи атаката или да свързват поредица от уязвимости, всичко, което трябва да направят, е да кликнат върху "изпълни" върху инструмент, " каза Cemerikic.
Той твърди, че това е точно това, на което общността за киберсигурност е станала свидетел през изминалата седмица, с много сериозен експлойт, който е поставен в ръцете на по-малко способни или необразовани нападатели и деца на сценарии.
"С напредването на времето, колкото повече тези инструменти стават достъпни, толкова повече Follina ще се използва като метод за доставка на злонамерен софтуер за компрометиране на целевите машини," предупреди Цемерикич, призовавайки хората да заправят своите Windows машини без забавяне.
