Pagrindiniai pasiėmimai
- Pastebėta gamtoje nauja Windows nulinio paspaudimo ataka, kuri gali pažeisti mašinas be jokių naudotojo veiksmų.
- Microsoft pripažino problemą ir paskelbė taisymo veiksmus, tačiau klaida dar neturi oficialios pataisos.
- Saugumo tyrinėtojai mato, kad klaida yra aktyviai išnaudojama, ir artimiausiu metu tikisi daugiau atakų.
Hakeriai rado būdą, kaip įsilaužti į Windows kompiuterį tiesiog išsiųsdami specialiai sukurtą kenkėjišką failą.
Pavadinta Follina, klaida yra gana rimta, nes ji gali leisti įsilaužėliams visiškai valdyti bet kurią „Windows“sistemą tiesiog išsiuntus modifikuotą „Microsoft Office“dokumentą. Kai kuriais atvejais žmonėms net nereikia atidaryti failo, nes Windows failo peržiūros pakanka, kad suaktyvintų bjaurius bitus. Pažymėtina, kad „Microsoft“pripažino klaidą, bet dar neišleido oficialaus pataisymo, kuris ją panaikintų.
„Šis pažeidžiamumas vis tiek turėtų būti nerimą keliančių dalykų sąrašo viršuje“, – savaitiniame SANS informaciniame biuletenyje rašė SANS technologijų instituto tyrimų dekanas dr. Johannesas Ullrichas. „Nors apsaugos nuo kenkėjiškų programų pardavėjai greitai atnaujina parašus, jų nepakanka, kad apsaugotų nuo daugybės išnaudojimų, kurie gali pasinaudoti šiuo pažeidžiamumu.“
Peržiūrėkite kompromisą
Grėsmę Japonijos saugumo tyrinėtojai pirmą kartą pastebėjo gegužės pabaigoje, pasinaudodami kenkėjišku Word dokumentu.
Saugumo tyrinėtojas Kevinas Beaumontas atskleidė pažeidžiamumą ir atrado, kad.doc faile buvo įkelta netikra HTML kodo dalis, kuri vėliau ragina „Microsoft“diagnostikos įrankį paleisti „PowerShell“kodą, kuris savo ruožtu paleidžia kenkėjišką apkrovą.
„Windows“naudoja „Microsoft“diagnostikos įrankį (MSDT), kad rinktų ir siųstų diagnostikos informaciją, kai kas nors sugenda su operacine sistema. Programos iškviečia įrankį naudodamos specialų MSDT URL protokolą (ms-msdt://), kurį „Follina“siekia išnaudoti.
"Šis išnaudojimas yra kalnas išnaudojimų, sukrautų vienas ant kito. Tačiau, deja, jį lengva sukurti iš naujo ir jo negali aptikti antivirusinė programa", – socialiniame tinkle "Twitter" rašė saugumo advokatai.
El. pašto diskusijoje su Lifewire Nikolasas Cemerikic, Immersive Labs kibernetinio saugumo inžinierius, paaiškino, kad Follina yra unikali. Tai nenaudojama įprastu netinkamo biuro makrokomandų naudojimo keliu, todėl gali netgi sugriauti žmones, kurie išjungė makrokomandas.
"Daugelį metų sukčiavimas el. paštu kartu su kenkėjiškais "Word" dokumentais buvo veiksmingiausias būdas gauti prieigą prie vartotojo sistemos", - pažymėjo Cemerikic. „Dabar riziką padidina „Follina“ataka, nes aukai tereikia atidaryti dokumentą arba kai kuriais atvejais peržiūrėti dokumento peržiūrą „Windows“peržiūros srityje, tuo pačiu pašalinant poreikį patvirtinti saugos įspėjimus.
„Microsoft“greitai ėmėsi kai kurių ištaisymo veiksmų, kad sumažintų „Follina“keliamą riziką. „Galimi švelninimo būdai yra nepatogūs problemos sprendimo būdai, kurių poveikio pramonė nespėjo ištirti“, – rašė Johnas Hammondas, Huntress vyresnysis saugumo tyrėjas, bendrovės tinklaraštyje apie klaidą. „Jie susiję su „Windows“registro nustatymų keitimu, o tai yra rimtas reikalas, nes neteisingas registro įrašas gali sugadinti jūsų kompiuterį“.
Šis pažeidžiamumas vis tiek turėtų būti dalykų, dėl kurių reikia nerimauti, sąrašo viršuje.
Nors „Microsoft“neišleido oficialaus pataisos, kad išspręstų problemą, yra neoficialus pataisas iš projekto „0patch“.
Kalbėdama apie taisymą, Mitja Kolsek, projekto 0patch įkūrėja, rašė, kad nors būtų paprasta visiškai išjungti Microsoft diagnostikos įrankį arba kodifikuoti Microsoft taisymo veiksmus į pataisą, projektas tęsėsi. kitoks požiūris, nes abu šie metodai neigiamai paveiktų diagnostikos įrankio našumą.
Tai tik prasidėjo
Kibernetinio saugumo pardavėjai jau pastebėjo, kad šis trūkumas aktyviai naudojamas prieš kai kuriuos aukšto lygio taikinius JAV ir Europoje.
Nors atrodo, kad visuose dabartiniuose išnaudojimuose gamtoje naudojami „Office“dokumentai, „Follina“gali būti piktnaudžiaujama per kitus atakos vektorius, paaiškino Cemerikic.
Paaiškindamas, kodėl tikėjo, kad Follina artimiausiu metu neišnyks, Cemerikic sakė, kad, kaip ir bet kokio didesnio išnaudojimo ar pažeidžiamumo atveju, įsilaužėliai galiausiai pradeda kurti ir išleisti įrankius, padedančius išnaudoti. Tai iš esmės paverčia šiuos gana sudėtingus išnaudojimus nukreipimo ir spustelėjimo atakomis.
„Užpuolikams nebereikia suprasti, kaip veikia ataka, ar sujungti pažeidžiamumą, jiems tereikia spustelėti „paleisti“ant įrankio“, – sakė Cemerikic.
Jis tvirtino, kad būtent tai buvo kibernetinio saugumo bendruomenė praėjusią savaitę, kai labai rimtas išnaudojimas buvo atiduotas į mažiau pajėgių ar neišsilavinusių užpuolikų ir scenarijų mažylių rankas.
„Laikui bėgant, kuo daugiau šių įrankių taps prieinama, tuo daugiau „Follina“bus naudojama kaip kenkėjiškų programų pristatymo būdas, siekiant pažeisti tikslinius įrenginius“, – perspėjo Cemerikic, ragindamas žmones nedelsiant pataisyti savo „Windows“įrenginius.
