.doc fails var apdraudēt jūsu Windows datoru

June 08, 2022
InJaunumi Internets Un Drošība

Savvaļā ir novērots jauns Windows nulles klikšķu uzbrukums, kas var apdraudēt iekārtas bez jebkādas lietotāja darbības.
Microsoft ir atzinis problēmu un ieviesis novēršanas darbības, taču kļūdai vēl nav oficiāla ielāpa.
Drošības pētnieki redz, ka šī kļūda tiek aktīvi izmantota, un tuvākajā nākotnē sagaida vairāk uzbrukumu.

Mehāniska kļūda imitētā gaismas tīklā. — John M Lund Photography Inc / Getty Images

Hakeri ir atraduši veidu, kā ielauzties Windows datorā, vienkārši nosūtot īpaši izstrādātu ļaunprātīgu failu.

Kļūda ar nosaukumu Follina ir diezgan nopietna, jo tā var ļaut hakeriem pilnībā kontrolēt jebkuru Windows sistēmu, vienkārši nosūtot modificētu Microsoft Office dokumentu. Dažos gadījumos cilvēkiem pat nav jāatver fails, jo Windows faila priekšskatījums ir pietiekams, lai aktivizētu nepatīkamos fragmentus. Īpaši Microsoft ir atzinusi kļūdu taču vēl nav izlaidusi oficiālu labojumu, lai to atceltu.

"Šai ievainojamībai joprojām vajadzētu būt to lietu saraksta augšgalā, par kurām jāuztraucas." Doktors Johanness Ulrihs, pētniecības dekāns

SANS Tehnoloģiju institūts, rakstīja SANS iknedēļas biļetens. "Lai gan pretļaunatūras programmatūras pārdevēji ātri atjaunina parakstus, tie nav pietiekami, lai aizsargātu pret plašo izmantošanu, kas var izmantot šīs ievainojamības priekšrocības."

Priekšskatījums uz kompromisu

Draudi bija pirmais pamanīts Japānas drošības pētnieki maija beigās, pateicoties ļaunprātīgam Word dokumentam.

Drošības pētnieks Kevins Bomonts atklāja ievainojamību un atklāja .doc failu ielādēja viltotu HTML koda fragmentu, kas pēc tam aicina Microsoft diagnostikas rīku izpildīt PowerShell kodu, kas savukārt palaiž ļaunprātīgo slodzi.

Windows izmanto Microsoft diagnostikas rīku (MSDT), lai apkopotu un nosūtītu diagnostikas informāciju, ja operētājsistēmā rodas problēmas. Programmas izsauc rīku, izmantojot īpašo MSDT URL protokolu (ms-msdt://), kuru Follina cenšas izmantot.

"Šis varoņdarbs ir viens virs otra sakrautu varoņdarbu kalns. Taču diemžēl to ir viegli izveidot no jauna, un pretvīrusu to nevar atklāt. rakstīja drošības aizstāvji vietnē Twitter.

E-pasta diskusijā ar Lifewire Nikolass Cemerikičs, kiberdrošības inženieris plkst Iespaidīgās laboratorijas, paskaidroja, ka Follina ir unikāla. Tas neietver parasto biroja makro ļaunprātīgas izmantošanas ceļu, tāpēc tas var pat radīt postījumus cilvēkiem, kuri ir atspējojuši makro.

"Jau daudzus gadus e-pasta pikšķerēšana apvienojumā ar ļaunprātīgiem Word dokumentiem ir bijis visefektīvākais veids, kā iegūt piekļuvi lietotāja sistēmai," norādīja Čemerikičs. "Šobrīd risku palielina Follina uzbrukums, jo cietušajam tikai jāatver dokuments vai dažos gadījumos skatīt dokumenta priekšskatījumu, izmantojot Windows priekšskatījuma rūti, vienlaikus novēršot nepieciešamību apstiprināt drošību brīdinājumi."

Microsoft ātri izlaida dažus sanācijas soļi lai mazinātu Follina radītos riskus. "Pieejamie mazināšanas pasākumi ir netīri risinājumi, kuru ietekmi nozarei nav bijis laika izpētīt," rakstīja. Džons Hamonds, vecākais drošības pētnieks plkst Medniece, uzņēmumā dziļās niršanas emuārs par kļūdu. "Tie ir saistīti ar iestatījumu maiņu Windows reģistrā, kas ir nopietns bizness, jo nepareizs reģistra ieraksts var sabojāt jūsu datoru."

Šai ievainojamībai joprojām vajadzētu būt to lietu saraksta augšgalā, par kurām jāuztraucas.

Lai gan Microsoft nav izlaidusi oficiālu ielāpu problēmas novēršanai, pastāv neoficiāls no 0patch projekts.

Runājot par labojumu, Mitja Kolsek, projekta 0patch līdzdibinātājs, rakstīja, ka, lai gan būtu vienkārši atspējot Microsoft diagnostikas rīku vai kodificēt Microsoft atlīdzināšanas soļus, projektā tika izmantota cita pieeja, jo abas šīs pieejas negatīvi ietekmētu Diagnostikas rīks.

Tas ir tikko sācies

Kiberdrošības pārdevēji jau ir sākuši redzēt šo trūkumu aktīvi izmantots pret dažiem augsta līmeņa mērķiem ASV un Eiropā.

Lai gan šķiet, ka visi pašreizējie savvaļas varoņdarbi izmanto Office dokumentus, Follina var tikt ļaunprātīgi izmantota, izmantojot citus uzbrukuma vektorus, skaidroja Čemerikičs.

Paskaidrojot, kāpēc viņš uzskatīja, ka Follina tuvākajā laikā nepazudīs, Čemerikičs sacīja, ka tāpat kā ar jebkuru citu liela ļaunprātīga izmantošana vai ievainojamība, hakeri galu galā sāk izstrādāt un izlaist rīkus, lai palīdzētu izmantot centienus. Tas būtībā pārvērš šos diezgan sarežģītos ekspluatācijas veidus uzbrukumos ar norādi un klikšķi.

Tuvplāns uz kāda cilvēka rokas, kas darbojas ar datora peli, fonā dators un skaļruņi. — Jevgeņijs Školenko / Getty Images

"Uzbrucējiem vairs nav jāsaprot, kā uzbrukums darbojas, vai jāsavieno virkne ievainojamību, viņiem atliek tikai noklikšķināt uz rīka "palaist"," sacīja Čemerikičs.

Viņš apgalvoja, ka tas ir tieši tas, ko kiberdrošības kopiena ir pieredzējusi pagājušajā nedēļā. ļoti nopietna ekspluatācija, kas tiek nodota mazāk spējīgu vai neizglītotu uzbrucēju un skriptu mazuļu rokās.

"Laikam ritot, jo vairāk šie rīki kļūs pieejami, jo vairāk Follina tiks izmantota kā ļaunprātīgas programmatūras metode. piegāde, lai kompromitētu mērķa mašīnas," brīdināja Čemerikičs, mudinot cilvēkus labot savas Windows mašīnas bez kavēšanās.