Soubor .doc by mohl ohrozit váš počítač se systémem Windows

June 08, 2022
VZprávy Internetová Bezpečnost

Ve volné přírodě byl pozorován nový útok Windows zero-click, který může kompromitovat počítače bez jakékoli akce uživatele.
Microsoft uznal problém a vydal kroky k nápravě, ale chyba zatím nemá oficiální opravu.
Bezpečnostní výzkumníci vidí, že chyba je aktivně využívána a očekávají další útoky v blízké budoucnosti.

Mechanická chyba v simulované síti světla. — John M Lund Photography Inc / Getty Images

Hackeři našli způsob, jak proniknout do počítače se systémem Windows jednoduše odesláním speciálně vytvořeného škodlivého souboru.

Chyba, přezdívaná Follina, je docela závažná, protože by mohla hackerům umožnit převzít úplnou kontrolu nad jakýmkoli systémem Windows pouhým odesláním upraveného dokumentu Microsoft Office. V některých případech lidé ani nemusí soubor otevřít, protože ke spuštění ošklivých bitů stačí náhled souboru Windows. Zejména, Microsoft chybu uznal ale ještě nevydal oficiální opravu, která by to zrušila.

"Tato zranitelnost by měla být stále na vrcholu seznamu věcí, kterých je třeba se obávat," Dr. Johannes Ullrich, děkan pro výzkum pro

SANS Technology Institute, napsal v Týdenní zpravodaj SANS. "Zatímco dodavatelé anti-malwaru rychle aktualizují signatury, nejsou dostatečné k ochraně proti široké škále exploitů, které mohou tuto zranitelnost využít."

Náhled ke kompromisu

Hrozba byla první spatřený japonskými bezpečnostními výzkumníky koncem května s laskavým svolením škodlivého dokumentu aplikace Word.

Bezpečnostní výzkumník Kevin Beaumont odhalila zranitelnost a objevil soubor .doc načetl falešný kus kódu HTML, který pak zavolá diagnostický nástroj Microsoft ke spuštění kódu PowerShell, který zase spustí škodlivý obsah.

Systém Windows používá nástroj Microsoft Diagnostic Tool (MSDT) ke shromažďování a odesílání diagnostických informací, když se s operačním systémem něco pokazí. Aplikace volají nástroj pomocí speciálního protokolu MSDT URL (ms-msdt://), který se Follina snaží využít.

„Tento exploit je hora exploitů naskládaných na sebe. Je však bohužel snadné jej znovu vytvořit a nelze jej detekovat antivirem,“ napsali obhájci bezpečnosti na Twitteru.

V e-mailové diskusi s Lifewire Nikolas Cemerikic, Cyber Security Engineer ve společnosti Imerzní laboratoře, vysvětlil, že Follina je jedinečná. Nejde obvyklou cestou zneužívání kancelářských maker, a proto může způsobit zmatek i lidem, kteří makra deaktivovali.

"Po mnoho let byl e-mailový phishing v kombinaci se škodlivými dokumenty Wordu nejúčinnějším způsobem, jak získat přístup do systému uživatele," zdůraznil Cemerikic. "Riziko nyní zvyšuje útok Follina, protože oběť potřebuje pouze otevřít dokument, nebo v některých případech, zobrazit náhled dokumentu prostřednictvím podokna náhledu systému Windows, aniž byste museli schvalovat zabezpečení varování."

Microsoft rychle některé vydal sanační kroky ke zmírnění rizik, která Follina představuje. "Zmírnění, která jsou k dispozici, jsou chaotická řešení, která průmysl neměl čas prostudovat jejich dopad," napsal John Hammond, vedoucí bezpečnostní výzkumník ve společnosti Lovkyně, ve společnosti blog o hlubokém potápění na štěnici. "Zahrnují změnu nastavení v registru Windows, což je vážná věc, protože nesprávná položka registru by mohla zničit váš počítač."

Tato zranitelnost by měla být stále na vrcholu seznamu věcí, kterých je třeba se obávat.

Přestože Microsoft nevydal oficiální opravu, která by problém vyřešila, existuje neoficiální z 0 patch projekt.

Mluvit o opravě, Mitja Kolsek, spoluzakladatel projektu 0patch, napsal, že i když by bylo snadné diagnostický nástroj Microsoft úplně zakázat nebo kodifikovat nápravných kroků do opravy, projekt zvolil jiný přístup, protože oba tyto přístupy by negativně ovlivnily výkon systému Diagnostický nástroj.

Právě to začalo

Prodejci kybernetické bezpečnosti již tuto chybu začali vidět aktivně zneužíván proti některým významným cílům v USA a Evropě.

Ačkoli se zdá, že všechny současné exploity ve volné přírodě využívají dokumenty Office, Follina může být zneužita prostřednictvím jiných vektorů útoku, vysvětlil Cemerikic.

Cemerikic vysvětlil, proč věřil, že Follina v brzké době neodejde, a řekl, že jako každý jiný hlavní exploit nebo zranitelnost, hackeři nakonec začnou vyvíjet a uvolňovat nástroje na podporu vykořisťování úsilí. To v podstatě mění tyto poměrně složité exploity na útoky typu point-and-click.

Detailní záběr na něčí ruku obsluhující počítačovou myš s počítačem a reproduktory na pozadí. — EvgeniyShkolenko / Getty Images

"Útočníci už nemusejí rozumět tomu, jak útok funguje, nebo řetězit dohromady řadu zranitelností, stačí jim kliknout na nástroj "spustit"," řekl Cemerikic.

Argumentoval tím, že právě toho byla komunita kybernetické bezpečnosti svědkem za poslední týden, přičemž a velmi vážný exploit, který se dostane do rukou méně schopných nebo nevzdělaných útočníků a skriptovacích dětí.

„Jak postupuje čas, čím více těchto nástrojů bude k dispozici, tím více bude Follina používána jako metoda malwaru doručení na kompromitující cílové počítače,“ varoval Cemerikic a vyzval lidi, aby opravovali své počítače s Windows bez zpoždění.