Plik .doc może narazić komputer z systemem Windows na ryzyko

June 08, 2022
WAktualności Ochrona Internetu

Na wolności zaobserwowano nowatorski atak typu zero-click na system Windows, który może zhakować komputery bez żadnych działań użytkownika.
Microsoft potwierdził problem i przedstawił kroki naprawcze, ale błąd nie ma jeszcze oficjalnej łatki.
Badacze bezpieczeństwa widzą, że błąd jest aktywnie wykorzystywany i spodziewają się kolejnych ataków w najbliższej przyszłości.

Mechaniczny błąd w symulowanej sieci światła. — John M Lund Photography Inc / Getty Images

Hakerzy znaleźli sposób na włamanie się do komputera z systemem Windows, po prostu wysyłając specjalnie spreparowany złośliwy plik.

Błąd, nazwany Follina, jest dość poważny, ponieważ może umożliwić hakerom przejęcie pełnej kontroli nad dowolnym systemem Windows poprzez wysłanie zmodyfikowanego dokumentu Microsoft Office. W niektórych przypadkach ludzie nie muszą nawet otwierać pliku, ponieważ podgląd pliku systemu Windows wystarczy, aby wywołać nieprzyjemne bity. Szczególnie, Microsoft uznał błąd ale nie wydał jeszcze oficjalnej poprawki, która by ją unieważniła.

„Ta luka nadal powinna znajdować się na szczycie listy rzeczy, o które należy się martwić”

Dr Johannes Ullrich, Dziekan ds. Nauki Instytut Technologiczny SANS, napisał w Cotygodniowy biuletyn SANS. „Chociaż producenci oprogramowania chroniącego przed złośliwym oprogramowaniem szybko aktualizują sygnatury, nie są one wystarczające do ochrony przed szeroką gamą exploitów, które mogą wykorzystać tę lukę”.

Podgląd do kompromisu

Zagrożenie było… pierwszy zauważony przez japońskich badaczy bezpieczeństwa pod koniec maja dzięki uprzejmości złośliwego dokumentu Worda.

Badacz bezpieczeństwa Kevina Beaumonta ujawnił słabość i odkrył plik .doc załadował fałszywy fragment kodu HTML, który następnie wywołuje narzędzie Microsoft Diagnostics Tool w celu wykonania kodu PowerShell, który z kolei uruchamia złośliwy ładunek.

System Windows używa narzędzia diagnostycznego firmy Microsoft (MSDT) do zbierania i wysyłania informacji diagnostycznych, gdy coś pójdzie nie tak z systemem operacyjnym. Aplikacje wywołują to narzędzie przy użyciu specjalnego protokołu URL MSDT (ms-msdt://), który Follina ma na celu wykorzystać.

„Ten exploit to góra nałożonych na siebie exploitów. Niestety, jest on niestety łatwy do odtworzenia i nie może zostać wykryty przez program antywirusowy.” napisał adwokatów bezpieczeństwa na Twitterze.

W rozmowie e-mailowej z Lifewire, Nikolas Cemerikic, inżynier ds. bezpieczeństwa cybernetycznego w Laboratoria wciągające, wyjaśnił, że Follina jest wyjątkowa. Nie podąża zwykłą drogą niewłaściwego używania makr biurowych, dlatego może nawet siać spustoszenie wśród osób, które wyłączyły makra.

„Przez wiele lat phishing e-mailowy w połączeniu ze złośliwymi dokumentami Worda był najskuteczniejszym sposobem uzyskania dostępu do systemu użytkownika” – wskazał Cemerikic. „Teraz ryzyko jest zwiększone przez atak Follina, ponieważ ofiara musi tylko otworzyć dokument, a w niektórych przypadkach wyświetlić podgląd dokumentu za pomocą okienka podglądu systemu Windows, eliminując potrzebę zatwierdzania zabezpieczeń ostrzeżenia."

Microsoft szybko wydał kilka kroki naprawcze aby złagodzić ryzyko stwarzane przez Follina. „Dostępne środki zaradcze to niechlujne obejścia, których branża nie miała czasu na zbadanie wpływu” — napisał John Hammond, starszy badacz ds. bezpieczeństwa w Łowczyni, w firmie blog o głębokim nurkowaniu na błąd. „Obejmują one zmianę ustawień w rejestrze systemu Windows, co jest poważną sprawą, ponieważ nieprawidłowy wpis w rejestrze może spowodować uszkodzenie komputera”.

Ta luka powinna nadal znajdować się na szczycie listy rzeczy, o które należy się martwić.

Chociaż Microsoft nie wydał oficjalnej łatki, aby naprawić ten problem, istnieje nieoficjalny z 0patch projekt.

Omawiając poprawkę, Mitja Kolsek, współtwórca projektu 0patch, napisał, że choć łatwo byłoby całkowicie wyłączyć narzędzie diagnostyczne Microsoft lub skodyfikować kroki naprawcze w łatce, projekt wybrał inne podejście, ponieważ oba te podejścia miałyby negatywny wpływ na wydajność Narzędzie diagnostyczne.

To dopiero się zaczęło

Sprzedawcy cyberbezpieczeństwa już zaczęli dostrzegać tę wadę aktywnie wykorzystywane przeciwko niektórym głośnym celom w USA i Europie.

Chociaż wydaje się, że wszystkie obecne exploity na wolności wykorzystują dokumenty Office, Follina może zostać wykorzystana przez inne wektory ataków, wyjaśnił Cemerikic.

Wyjaśniając, dlaczego wierzy, że Follina nie zniknie w najbliższym czasie, Cemerikic powiedział, że tak jak w przypadku każdego poważna luka w zabezpieczeniach lub luka w zabezpieczeniach, hakerzy w końcu zaczynają opracowywać i wypuszczać narzędzia wspomagające wykorzystywanie starania. To zasadniczo zamienia te dość złożone exploity w ataki typu „wskaż i kliknij”.

Zbliżenie na czyjąś rękę obsługującą mysz komputerową, z komputerem i głośnikami w tle. — EvgeniyShkolenko / Getty Images

„Atakujący nie muszą już rozumieć, jak działa atak, ani łączyć ze sobą serii luk w zabezpieczeniach, wystarczy, że klikną „uruchom” na narzędziu” — powiedział Cemerikic.

Twierdził, że jest to dokładnie to, czego społeczność cyberbezpieczeństwa była świadkiem w ciągu ostatniego tygodnia, z bardzo poważny exploit trafia w ręce mniej zdolnych lub niewykształconych napastników i script kiddies.

„W miarę upływu czasu, im więcej tych narzędzi stanie się dostępnych, tym bardziej Follina będzie wykorzystywana jako metoda złośliwego oprogramowania dostarczanie w celu skompromitowania komputerów docelowych” – ostrzegł Cemerikic, nakłaniając ludzi do instalowania poprawek na swoich komputerach z systemem Windows bez opóźnienie.