.doc failas gali kelti pavojų jūsų „Windows“ kompiuteriui

June 08, 2022
ĮŽinios Interneto Apsauga

Laukinėje gamtoje buvo pastebėta nauja Windows nulinio paspaudimo ataka, kuri gali pažeisti mašinas be jokių vartotojo veiksmų.
„Microsoft“ pripažino problemą ir paskelbė taisymo veiksmus, tačiau klaida dar neturi oficialios pataisos.
Saugumo tyrinėtojai mato, kad ši klaida yra aktyviai išnaudojama ir artimiausiu metu tikisi daugiau atakų.

Mechaninė klaida imituotame šviesos tinkle. — John M Lund Photography Inc / Getty Images

Piratai rado būdą, kaip įsilaužti į Windows kompiuterį tiesiog išsiųsdami specialiai sukurtą kenkėjišką failą.

Pavadinta Follina, klaida yra gana rimta, nes įsilaužėliai gali visiškai valdyti bet kurią „Windows“ sistemą tiesiog išsiuntę modifikuotą „Microsoft Office“ dokumentą. Kai kuriais atvejais žmonėms net nereikia atidaryti failo, nes Windows failo peržiūros pakanka, kad suaktyvintų bjaurius bitus. Pažymėtina, „Microsoft“ pripažino klaidą tačiau dar neišleido oficialaus pataisymo, kuris jį panaikintų.

„Šis pažeidžiamumas vis tiek turėtų būti dalykų, dėl kurių reikia nerimauti, sąrašo viršuje. Daktaras Johannesas Ullrichas

, tyrimų dekanas SANS technologijų institutas, rašė SANS savaitinis naujienlaiškis. „Nors antikenkėjiškų programų pardavėjai greitai atnaujina parašus, jų nepakanka, kad apsaugotų nuo daugybės išnaudojimų, kurie gali pasinaudoti šiuo pažeidžiamumu.

Kompromiso peržiūra

Grėsmė buvo pirmą kartą pastebėta Gegužės pabaigoje Japonijos saugumo tyrinėtojai dėl kenkėjiško „Word“ dokumento.

Saugumo tyrinėtojas Kevinas Beaumontas išskleidė pažeidžiamumą ir aptiko .doc failą įkėlė netikrą HTML kodo dalį, kuri tada ragina „Microsoft Diagnostics Tool“ paleisti „PowerShell“ kodą, kuris savo ruožtu paleidžia kenksmingą naudingą apkrovą.

Windows naudoja Microsoft diagnostikos įrankį (MSDT), kad rinktų ir siųstų diagnostikos informaciją, kai kas nors sugenda operacinėje sistemoje. Programos iškviečia įrankį naudodamos specialų MSDT URL protokolą (ms-msdt://), kurį „Follina“ siekia išnaudoti.

„Šis žygdarbis yra kalnas žygdarbių, sukrautų vienas ant kito. Tačiau, deja, jį lengva sukurti iš naujo ir antivirusinė programa jo neaptiks. rašė saugumo gynėjai „Twitter“ tinkle.

El. pašto diskusijoje su Lifewire Nikolas Cemerikic, kibernetinio saugumo inžinierius Įtraukiančios laboratorijos, paaiškino, kad Follina yra unikali. Tai netaikoma įprastu netinkamo biuro makrokomandų naudojimo keliu, todėl jis netgi gali pakenkti žmonėms, kurie išjungė makrokomandas.

„Daugelį metų sukčiavimas el. paštu kartu su kenkėjiškais „Word“ dokumentais buvo veiksmingiausias būdas pasiekti vartotojo sistemą“, – pažymėjo C. Cemerikic. „Dabar riziką padidina Follina ataka, nes aukai tereikia atidaryti dokumentą arba kai kuriais atvejais peržiūrėti dokumento peržiūrą „Windows“ peržiūros srityje, pašalinant būtinybę patvirtinti saugą įspėjimai“.

„Microsoft“ greitai paskelbė kai kuriuos ištaisymo žingsniai sumažinti Follina keliamą riziką. „Galimi švelninimo būdai yra nepatogūs sprendimai, kurių poveikio pramonė neturėjo laiko ištirti“, – rašė. Džonas Hamondas, vyresnysis saugumo tyrėjas Medžiotoja, įmonėje gilaus nardymo tinklaraštis ant klaidos. „Jie susiję su „Windows“ registro nustatymų keitimu, o tai yra rimtas reikalas, nes neteisingas registro įrašas gali sugadinti jūsų kompiuterį.

Šis pažeidžiamumas vis tiek turėtų būti dalykų, dėl kurių reikia nerimauti, sąrašo viršuje.

Nors „Microsoft“ neišleido oficialaus pataiso problemai išspręsti, yra neoficialus nuo 0 patch projektas.

Kalbėdamas apie taisymą, Mitja Kolsek, 0patch projekto įkūrėjas, rašė, kad nors būtų paprasta visiškai išjungti „Microsoft“ diagnostikos įrankį arba kodifikuoti „Microsoft“ ištaisymo veiksmus paversdamas pataisa, projekte buvo pasirinktas kitoks požiūris, nes abu šie metodai neigiamai paveiktų Diagnostikos įrankis.

Tai tik prasidėjo

Kibernetinio saugumo pardavėjai jau pradėjo pastebėti trūkumą aktyviai išnaudojami prieš kai kuriuos aukšto lygio taikinius JAV ir Europoje.

Nors atrodo, kad visuose dabartiniuose išnaudojimuose laukinėje gamtoje naudojami „Office“ dokumentai, „Follina“ gali būti piktnaudžiaujama per kitus atakų vektorius, paaiškino Cemerikic.

Paaiškindamas, kodėl tikėjo, kad Follina greitai neišnyks, Cemerikic pasakė, kad, kaip ir bet kuri kita didelio išnaudojimo ar pažeidžiamumo atveju įsilaužėliai galiausiai pradeda kurti ir išleisti įrankius, padedančius išnaudoti pastangas. Tai iš esmės paverčia šiuos gana sudėtingus išnaudojimus nukreipimo ir spustelėjimo atakomis.

Iš arti kažkieno rankos, valdančios kompiuterio pelę, fone kompiuteris ir garsiakalbiai. — Jevgenijus Školenko / Getty Images

„Užpuolikams nebereikia suprasti, kaip veikia ataka, ar sujungti pažeidžiamumų, jiems tereikia spustelėti „paleisti“ ant įrankio“, – sakė C.Cemerikic.

Jis tvirtino, kad būtent tai per praėjusią savaitę matė kibernetinio saugumo bendruomenė. labai rimtas išnaudojimas, patenkantis į mažiau pajėgių ar neišsilavinusių užpuolikų ir scenarijų vaikučių rankas.

„Laikui bėgant, kuo daugiau šių įrankių bus prieinama, tuo daugiau „Follina“ bus naudojama kaip kenkėjiškų programų metodas. pristatymas, kad būtų pakenkta tikslinėms mašinoms“, – perspėjo Cemerikic, ragindamas žmones pataisyti savo „Windows“ įrenginius be uždelsimas.