Doc-fail võib teie Windowsi arvuti ohtu seada

June 08, 2022
SisseUudised Interneti Turvalisus

Looduses on täheldatud uudset Windowsi nullklõpsu rünnakut, mis võib masinaid kahjustada ilma kasutaja tegevuseta.
Microsoft on probleemi tunnistanud ja välja pannud parandusmeetmed, kuid veal pole veel ametlikku plaastrit.
Turvateadlased näevad seda viga aktiivselt ära ja ootavad lähitulevikus rohkem rünnakuid.

Mehaaniline viga simuleeritud valgusvõrgus. — John M Lund Photography Inc / Getty Images

Häkkerid on leidnud viisi Windowsiga arvutisse sissemurdmiseks lihtsalt spetsiaalselt loodud pahatahtliku faili saatmisega.

Follina nimega viga on üsna tõsine, kuna see võib võimaldada häkkeritel saada täielikku kontrolli mis tahes Windowsi süsteemi üle lihtsalt muudetud Microsoft Office'i dokumendi saatmisega. Mõnel juhul ei pea inimesed isegi faili avama, sest Windowsi faili eelvaatest piisab ebameeldivate osade käivitamiseks. Eelkõige Microsoft on vea tunnistanud kuid pole veel ametlikku parandust selle tühistamiseks välja andnud.

"See haavatavus peaks endiselt olema nende asjade nimekirja tipus, mille pärast muretseda," Dr Johannes Ullrich

, teadusuuringute dekaan SANS-i tehnoloogiainstituut, kirjutas SANSi iganädalane uudiskiri. "Kuigi pahavaratõrje müüjad värskendavad kiiresti allkirju, ei ole need piisavad kaitseks paljude ärakasutamiste eest, mis võivad seda haavatavust ära kasutada."

Kompromissi eelvaade

Oht oli esmakordselt märgatud Jaapani turvateadlaste poolt mai lõpus pahatahtliku Wordi dokumendi kaudu.

Turvalisuse uurija Kevin Beaumont avas haavatavuse ja avastas .doc-faili laadis võltsitud HTML-koodi, mis seejärel kutsub Microsofti diagnostikatööriista käivitama PowerShelli koodi, mis omakorda käivitab pahatahtliku kasuliku koormuse.

Windows kasutab Microsofti diagnostikatööriista (MSDT) diagnostikateabe kogumiseks ja saatmiseks, kui operatsioonisüsteemiga läheb valesti. Rakendused kutsuvad tööriista välja spetsiaalse MSDT URL-i protokolli (ms-msdt://) abil, mida Follina püüab ära kasutada.

"See vägitegu on üksteise otsa virnastatud vägitegude mägi. Kahjuks on seda aga lihtne uuesti luua ja viirusetõrje seda ei tuvasta. kirjutasid julgeolekukaitsjad Twitteris.

Meilivestluses Lifewire'iga Nikolas Cemerikic, küberturvalisuse insener aadressil Kaasahaaravad laborid, selgitas, et Follina on ainulaadne. See ei kasuta tavalist kontorimakrode väärkasutamise teed, mistõttu võib see isegi hävitada inimesi, kes on makrod keelanud.

"Palju aastaid on e-kirjade andmepüük koos pahatahtlike Wordi dokumentidega olnud kõige tõhusam viis kasutaja süsteemile juurdepääsu saamiseks," märkis Cemerikic. "Praegu suurendab ohtu Follina rünnak, kuna ohver peab avama vaid dokumendi või mõnel juhul vaadata dokumendi eelvaadet Windowsi eelvaatepaani kaudu, kõrvaldades samal ajal vajaduse turbe kinnitada hoiatused."

Microsoft oli kiiresti mõned välja andma heastamise sammud et maandada Follinast tulenevaid riske. "Saadaolevad leevendusmeetmed on räpased lahendused, mille mõju pole tööstusel olnud aega uurida," kirjutas John Hammond, turvalisuse vanemteadur aadressil Jahinaine, ettevõttes süvasukeldumisblogi vea kohta. "Need hõlmavad Windowsi registri sätete muutmist, mis on tõsine äri, sest vale registrikanne võib teie masina rikkuda."

See haavatavus peaks endiselt olema muret tekitavate asjade nimekirja tipus.

Kuigi Microsoft pole probleemi lahendamiseks ametlikku plaastrit välja andnud, on olemas mitteametlik alates 0 patch projekt.

Rääkides lahendusest, Mitja Kolsek, projekti 0patch kaasasutaja, kirjutas, et kuigi lihtne oleks Microsofti diagnostikatööriist täielikult keelata või Microsofti parandusmeetmed paigaks, kasutati projektis teistsugust lähenemisviisi, kuna mõlemad lähenemisviisid mõjutaksid negatiivselt Diagnostikatööriist.

See on just alanud

Küberturvalisuse müüjad on seda viga juba nägema hakanud aktiivselt ära kasutatud mõne kõrgetasemelise sihtmärgi vastu USA-s ja Euroopas.

Kuigi näib, et kõik praegused looduses kasutatavad rünnakud kasutavad Office'i dokumente, võib Follinat kuritarvitada muude rünnakuvektorite kaudu, selgitas Cemerikic.

Selgitades, miks ta uskus, et Follina ei kao niipea, ütles Cemerikic, et nagu iga teise suure ärakasutamise või haavatavuse korral hakkavad häkkerid lõpuks välja töötama ja välja andma tööriistu, mis aitavad ärakasutamist jõupingutusi. See muudab need üsna keerulised ärakasutamised sisuliselt point-and-click rünnakuteks.

Lähivõte kellegi käest, kes kasutab arvutihiirt, taustal arvuti ja kõlarid. — Jevgeni Školenko / Getty Images

"Ründajad ei pea enam mõistma, kuidas rünnak töötab, ega aheldama kokku turvaauke, neil pole vaja teha muud, kui klõpsata tööriistal "käivita", " ütles Cemerikic.

Ta väitis, et just seda on küberjulgeoleku kogukond viimase nädala jooksul tunnistajaks olnud. väga tõsine ärakasutamine, mis on pandud vähem võimekate või harimatute ründajate ja stsenaariumide kätesse.

"Aja edenedes, mida rohkem need tööriistad kättesaadavaks muutuvad, seda rohkem kasutatakse Follinat pahavara meetodina. tarnimine, et ohustada sihtmasinaid," hoiatas Cemerikic, kutsudes inimesi üles parandama oma Windowsi masinaid ilma viivitus.