Een .doc-bestand kan uw Windows-computer in gevaar brengen
- Er is in het wild een nieuwe Windows-zero-click-aanval waargenomen die machines kan compromitteren zonder enige actie van de gebruiker.
- Microsoft heeft het probleem erkend en herstelstappen voorgesteld, maar de bug heeft nog geen officiële patch.
- Beveiligingsonderzoekers zien dat de bug actief wordt uitgebuit en verwachten in de nabije toekomst meer aanvallen.
John M Lund Photography Inc / Getty Images
Hackers hebben een manier gevonden om in te breken op een Windows-computer door simpelweg een speciaal vervaardigd kwaadaardig bestand te verzenden.
De bug, genaamd Follina, is behoorlijk ernstig omdat het hackers in staat zou kunnen stellen volledige controle over elk Windows-systeem te krijgen door gewoon een aangepast Microsoft Office-document te verzenden. In sommige gevallen hoeven mensen het bestand niet eens te openen, omdat het Windows-bestandsvoorbeeld voldoende is om de vervelende stukjes te activeren. Opmerkelijk, Microsoft heeft de bug erkend maar heeft nog geen officiële oplossing uitgebracht om het teniet te doen.
"Deze kwetsbaarheid zou nog steeds bovenaan de lijst moeten staan van dingen om je zorgen over te maken," Dr. Johannes Ullrich, onderzoeksdecaan voor SANS Technologie Instituut, schreef in de SANS wekelijkse nieuwsbrief. "Hoewel leveranciers van anti-malware snel handtekeningen bijwerken, zijn ze onvoldoende om bescherming te bieden tegen het brede scala aan exploits die misbruik kunnen maken van dit beveiligingslek."
Voorbeeld om een compromis te sluiten
De dreiging was: eerst gespot door Japanse beveiligingsonderzoekers tegen het einde van mei met dank aan een kwaadaardig Word-document.
Beveiligingsonderzoeker Kevin Beaumont ontvouwde de kwetsbaarheid en ontdekte het .doc-bestand een vals stukje HTML-code geladen, die vervolgens de Microsoft Diagnostics Tool aanroept om een PowerShell-code uit te voeren, die op zijn beurt de kwaadaardige payload uitvoert.
Windows gebruikt de Microsoft Diagnostic Tool (MSDT) om diagnostische informatie te verzamelen en te verzenden wanneer er iets misgaat met het besturingssysteem. Apps roepen de tool op met behulp van het speciale MSDT URL-protocol (ms-msdt://), dat Follina wil exploiteren.
"Deze exploit is een berg van exploits die op elkaar zijn gestapeld. Het is echter helaas eenvoudig opnieuw te maken en kan niet worden gedetecteerd door antivirusprogramma's," schreef veiligheidsadvocaten op Twitter.
In een e-maildiscussie met Lifewire, Nikolas Cemerikic, Cyber Security Engineer bij Meeslepende Labs, legde uit dat Follina uniek is. Het neemt niet de gebruikelijke weg van misbruik van kantoormacro's, en daarom kan het zelfs grote schade aanrichten aan mensen die macro's hebben uitgeschakeld.
"Phishing via e-mail, in combinatie met kwaadaardige Word-documenten, is jarenlang de meest effectieve manier geweest om toegang te krijgen tot het systeem van een gebruiker", benadrukt Cemerikic. "Het risico wordt nu vergroot door de Follina-aanval, omdat het slachtoffer alleen een document hoeft te openen, of in sommige gevallen, bekijk een voorbeeld van het document via het Windows-voorbeeldvenster, zonder de noodzaak om de beveiliging goed te keuren waarschuwingen."
Microsoft was er snel bij om wat uit te brengen herstel stappen om de risico's van Follina te beperken. "De oplossingen die beschikbaar zijn, zijn rommelige oplossingen waarvan de industrie geen tijd heeft gehad om de impact ervan te bestuderen", schreef John Hammond, senior beveiligingsonderzoeker bij Jager, in het bedrijf diepe duik blog op de bug. "Het gaat om het wijzigen van instellingen in het Windows-register, wat een serieuze zaak is omdat een onjuiste registervermelding uw machine kan blokkeren."
Deze kwetsbaarheid zou nog steeds bovenaan de lijst moeten staan met dingen om je zorgen over te maken.
Hoewel Microsoft geen officiële patch heeft uitgebracht om het probleem op te lossen, is er een onofficiële van de 0patch-project.
Praten door de oplossing, Mitja Kolsek, mede-oprichter van het 0patch-project, schreef dat hoewel het eenvoudig zou zijn om de Microsoft Diagnostic-tool helemaal uit te schakelen of om Microsoft's herstelstappen in een patch, koos het project voor een andere aanpak omdat beide benaderingen een negatieve invloed zouden hebben op de prestaties van de Diagnostisch hulpmiddel.
Het is net begonnen
Cybersecurity-leveranciers beginnen de fout al te zien actief uitgebuit tegen een aantal spraakmakende doelen in de VS en Europa.
Hoewel alle huidige exploits in het wild Office-documenten lijken te gebruiken, kan Follina worden misbruikt door andere aanvalsvectoren, legt Cemerikic uit.
Cemerikic legde uit waarom hij geloofde dat Follina niet snel zal weggaan en zei dat, zoals bij elke grote exploit of kwetsbaarheid, beginnen hackers uiteindelijk met het ontwikkelen en vrijgeven van tools om uitbuiting te vergemakkelijken pogingen. Dit verandert in wezen deze nogal complexe exploits in point-and-click-aanvallen.
EvgeniyShkolenko / Getty Images
"Aanvallers hoeven niet langer te begrijpen hoe de aanval werkt of een reeks kwetsbaarheden aan elkaar te koppelen, ze hoeven alleen maar op 'uitvoeren' op een tool te klikken", zegt Cemerikic.
Hij voerde aan dat dit precies is wat de cyberbeveiligingsgemeenschap de afgelopen week heeft gezien, met een zeer ernstige exploit die in handen wordt gegeven van minder capabele of ongeschoolde aanvallers en scriptkiddies.
"Naarmate de tijd vordert, hoe meer deze tools beschikbaar komen, hoe meer Follina zal worden gebruikt als een methode van malware levering om doelmachines in gevaar te brengen", waarschuwde Cemerikic en drong er bij mensen op aan hun Windows-machines te patchen zonder vertraging.