.doc-tiedosto voi vaarantaa Windows-tietokoneesi

June 08, 2022
SisäänUutiset Internet Turvallisuus

Uusi Windowsin nollanapsautushyökkäys, joka voi vaarantaa koneet ilman käyttäjän toimia, on havaittu luonnossa.
Microsoft on tunnustanut ongelman ja julkaissut korjaustoimenpiteitä, mutta bugilla ei ole vielä virallista korjaustiedostoa.
Tietoturvatutkijat näkevät, että vikaa hyödynnetään aktiivisesti, ja he odottavat lisää hyökkäyksiä lähitulevaisuudessa.

Mekaaninen vika simuloidussa valoverkossa. — John M Lund Photography Inc / Getty Images

Hakkerit ovat löytäneet tavan murtautua Windows-tietokoneeseen yksinkertaisesti lähettämällä erityisesti muodostetun haitallisen tiedoston.

Follinaksi kutsuttu virhe on melko vakava, koska se voi antaa hakkereille mahdollisuuden ottaa kaikki Windows-järjestelmät täysin hallintaansa lähettämällä muokatun Microsoft Office -asiakirjan. Joissakin tapauksissa ihmisten ei tarvitse edes avata tiedostoa, koska Windowsin tiedoston esikatselu riittää käynnistämään ikävät bitit. Erityisesti Microsoft on myöntänyt virheen mutta ei ole vielä julkaissut virallista korjausta sen mitätöimiseksi.

"Tämän haavoittuvuuden pitäisi edelleen olla huolissaan olevien asioiden listan kärjessä."

Tohtori Johannes Ullrich, tutkimuksen dekaani SANS-teknologiainstituutti, kirjoitti SANS viikoittainen uutiskirje. "Vaikka haittaohjelmien torjuntatoimittajat päivittävät allekirjoituksiaan nopeasti, ne eivät ole riittäviä suojaamaan monia haavoittuvuutta mahdollisesti hyödyntäviltä hyökkäyksiltä."

Esikatselu kompromissiin

Uhka oli ensin havaittu Japanilaiset turvallisuustutkijat toukokuun lopulla haitallisen Word-asiakirjan ansiosta.

Turvallisuustutkija Kevin Beaumont paljasti haavoittuvuuden ja löysi .doc-tiedoston latasi väärän osan HTML-koodia, joka sitten pyytää Microsoft Diagnostics Toolia suorittamaan PowerShell-koodin, joka puolestaan suorittaa haitallisen hyötykuorman.

Windows käyttää Microsoft Diagnostic Toolia (MSDT) diagnostiikkatietojen keräämiseen ja lähettämiseen, kun käyttöjärjestelmässä tapahtuu jotain vikaa. Sovellukset kutsuvat työkalua käyttämällä erityistä MSDT URL-protokollaa (ms-msdt://), jota Follina pyrkii hyödyntämään.

"Tämä hyväksikäyttö on vuori hyökkäyksiä, jotka on pinottu päällekkäin. Valitettavasti se on kuitenkin helppo luoda uudelleen, eikä virustorjunta pysty havaitsemaan sitä." kirjoitti turvallisuuden puolestapuhujia Twitterissä.

Sähköpostikeskustelussa Lifewiren kanssa Nikolas Cemerikic, kyberturvallisuusinsinööri osoitteessa Immersive Labs, selitti, että Follina on ainutlaatuinen. Se ei käytä tavanomaista toimistomakrojen väärinkäyttöä, minkä vuoksi se voi jopa aiheuttaa tuhoa ihmisille, jotka ovat poistaneet makrot käytöstä.

"Monien vuosien ajan sähköpostin tietojenkalastelu yhdistettynä haitallisiin Word-asiakirjoihin on ollut tehokkain tapa päästä käyttäjän järjestelmään", Cemerikic huomautti. "Riskiä lisää nyt Follina-hyökkäys, sillä uhrin tarvitsee vain avata asiakirja tai joissain tapauksissa tarkastella asiakirjan esikatselua Windowsin esikatseluruudun kautta, samalla kun suojausta ei tarvitse hyväksyä varoitukset."

Microsoft oli nopea julkaissut joitain korjausvaiheet vähentämään Follinan aiheuttamia riskejä. "Saatavilla olevat lievennykset ovat sotkuisia ratkaisuja, joiden vaikutuksia teollisuus ei ole ehtinyt tutkia", kirjoitti. John Hammond, vanhempi turvallisuustutkija osoitteessa Metsästäjä, yhtiön syväsukellusblogi bugissa. "Niihin liittyy Windowsin rekisterin asetusten muuttaminen, mikä on vakava asia, koska virheellinen rekisterimerkintä voi haitata koneesi."

Tämän haavoittuvuuden pitäisi edelleen olla huolestuttavien asioiden luettelon kärjessä.

Vaikka Microsoft ei ole julkaissut virallista korjaustiedostoa ongelman korjaamiseksi, on olemassa epävirallinen alkaen 0 patch -projekti.

Korjauksen läpi puhuminen, Mitja Kolsek, 0patch-projektin perustaja, kirjoitti, että vaikka olisi helppoa poistaa Microsoft Diagnostic -työkalu kokonaan käytöstä tai kodifioida Microsoftin korjausvaiheet paikaksi, hankkeessa valittiin erilainen lähestymistapa, koska molemmat lähestymistavat vaikuttaisivat kielteisesti Diagnostiikkatyökalu.

Se on vasta alkanut

Kyberturvallisuustoimittajat ovat jo alkaneet nähdä virheen aktiivisesti hyväksikäytettynä joitakin korkean profiilin kohteita vastaan Yhdysvalloissa ja Euroopassa.

Vaikka kaikki nykyiset hyödyt luonnossa näyttävät käyttävän Office-dokumentteja, Follinaa voidaan käyttää väärin muiden hyökkäysvektorien kautta, Cemerikic selitti.

Selittäessään, miksi hän uskoi, ettei Follina katoa pian, Cemerikic sanoi, että kuten kaikki muutkin suuren hyväksikäytön tai haavoittuvuuden vuoksi hakkerit alkavat lopulta kehittää ja julkaista työkaluja hyväksikäytön auttamiseksi ponnisteluja. Tämä muuttaa nämä melko monimutkaiset hyväksikäytöt osoita ja napsauta -hyökkäyksiksi.

Lähikuva jonkun kädestä, joka käyttää tietokoneen hiirtä, tietokone ja kaiuttimet taustalla. — Evgeniy Shkolenko / Getty Images

"Hyökkääjien ei enää tarvitse ymmärtää, miten hyökkäys toimii, tai ketjuttaa yhteen useita haavoittuvuuksia, heidän tarvitsee vain napsauttaa "run" työkalua", Cemerikic sanoi.

Hän väitti, että tämä on juuri sitä, mitä kyberturvallisuusyhteisö on nähnyt viime viikon aikana. erittäin vakava hyväksikäyttö, joka joutuu vähemmän kykenevien tai kouluttamattomien hyökkääjien ja käsikirjoittajien käsiin.

"Ajan edetessä mitä enemmän näitä työkaluja tulee saataville, sitä enemmän Follinaa käytetään haittaohjelmien torjuntakeinona. toimitus vaarantaa kohdekoneet", varoitti Cemerikic ja kehotti ihmisiä korjaamaan Windows-koneensa ilman viive.