Un fișier .doc ar putea pune computerul Windows în pericol
- A fost observat în sălbăticie un nou atac Windows zero-click care poate compromite mașinile fără nicio acțiune a utilizatorului.
- Microsoft a recunoscut problema și a lansat pași de remediere, dar bug-ul nu are încă un patch oficial.
- Cercetătorii de securitate văd că bug-ul este exploatat în mod activ și se așteaptă la mai multe atacuri în viitorul apropiat.
John M Lund Photography Inc / Getty Images
Hackerii au găsit o modalitate de a pătrunde într-un computer Windows pur și simplu trimițând un fișier rău intenționat special creat.
Numit Follina, bug-ul este destul de grav, deoarece ar putea permite hackerilor să preia controlul complet asupra oricărui sistem Windows doar prin trimiterea unui document Microsoft Office modificat. În unele cazuri, oamenii nici măcar nu trebuie să deschidă fișierul, deoarece previzualizarea fișierului Windows este suficientă pentru a declanșa biții urâți. În special, Microsoft a recunoscut eroarea dar nu a lansat încă o remediere oficială care să o anuleze.
„Această vulnerabilitate ar trebui să fie în continuare în fruntea listei de lucruri de care să vă faceți griji”, Dr. Johannes Ullrich, decan de cercetare pentru Institutul de Tehnologie SANS, a scris în Buletinul informativ săptămânal SANS. „În timp ce furnizorii de programe anti-malware actualizează rapid semnăturile, acestea sunt inadecvate pentru a proteja împotriva gamei largi de exploit-uri care pot profita de această vulnerabilitate.”
Previzualizare pentru compromis
Amenințarea era prima vedere de către cercetătorii de securitate japonezi spre sfârșitul lunii mai, prin amabilitatea unui document Word rău intenționat.
Cercetator de securitate Kevin Beaumont a desfăşurat vulnerabilitatea şi a descoperit fișierul .doc a încărcat o bucată falsă de cod HTML, care apoi apelează la Instrumentul de diagnosticare Microsoft pentru a executa un cod PowerShell, care, la rândul său, rulează sarcina utilă rău intenționată.
Windows folosește Microsoft Diagnostic Tool (MSDT) pentru a colecta și a trimite informații de diagnosticare atunci când ceva nu merge bine cu sistemul de operare. Aplicațiile apelează instrumentul folosind protocolul MSDT URL special (ms-msdt://), pe care Follina își propune să-l exploateze.
„Această exploatare este un munte de exploatații stivuite una peste alta. Cu toate acestea, din păcate, este ușor de recreat și nu poate fi detectat de antivirus. au scris avocații pentru securitate pe Twitter.
Într-o discuție prin e-mail cu Lifewire, Nikolas Cemerikic, Inginer de securitate cibernetică la Laboratoare imersive, a explicat că Follina este unică. Nu ia calea obișnuită de utilizare greșită a macrocomenzilor de birou, motiv pentru care poate chiar să facă ravagii pentru persoanele care au macrocomenzi dezactivate.
„De mulți ani, phishingul prin e-mail, combinat cu documentele Word rău intenționate, a fost cea mai eficientă modalitate de a obține acces la sistemul unui utilizator”, a subliniat Cemerikic. „Riscul acum este sporit de atacul de la Follina, deoarece victima trebuie doar să deschidă un document sau, în unele cazuri, vizualizați o previzualizare a documentului prin panoul de previzualizare Windows, eliminând în același timp nevoia de a aproba securitatea Avertizări."
Microsoft s-a grăbit să scoată câteva etape de remediere pentru a atenua riscurile prezentate de Follina. „Atenuările disponibile sunt soluții dezordonate pentru care industria nu a avut timp să studieze impactul”, a scris John Hammond, un cercetător senior în securitate la Vânătoarea, în cel al companiei deep dive blog asupra bug-ului. „Ele implică modificarea setărilor din Registrul Windows, ceea ce este o afacere serioasă, deoarece o intrare incorectă în Registrul ar putea să vă blocheze mașina.”
Această vulnerabilitate ar trebui să fie în continuare în fruntea listei de lucruri de care să vă faceți griji.
Deși Microsoft nu a lansat un patch oficial pentru a remedia problema, există un unul neoficial de la proiect 0patch.
Vorbind despre reparație, Mitja Kolsek, co-fondatorul proiectului 0patch, a scris că, deși ar fi simplu să dezactivați complet instrumentul de diagnosticare Microsoft sau să codificați pașii de remediere într-un patch, proiectul a optat pentru o abordare diferită, deoarece ambele abordări ar avea un impact negativ asupra performanței Instrument de diagnosticare.
Tocmai a început
Furnizorii de securitate cibernetică au început deja să vadă că defectul este exploatate activ împotriva unor ținte importante din SUA și Europa.
Deși toate exploit-urile actuale în sălbăticie par să folosească documente Office, Follina poate fi abuzată prin alți vectori de atac, a explicat Cemerikic.
Explicând de ce credea că Follina nu va pleca prea curând, Cemerikic a spus că, ca și în cazul oricărui exploatare majoră sau vulnerabilitate, hackerii încep în cele din urmă să dezvolte și să lanseze instrumente pentru a ajuta exploatarea eforturi. Acest lucru transformă, în esență, aceste exploit-uri destul de complexe în atacuri punct-and-click.
EvgeniyShkolenko / Getty Images
„Atacatorii nu mai trebuie să înțeleagă cum funcționează atacul sau să înlănțuiască o serie de vulnerabilități, tot ce trebuie să facă este să facă clic pe „alerează” pe un instrument”, a spus Cemerikic.
El a susținut că exact la asta a asistat comunitatea de securitate cibernetică în ultima săptămână, cu o exploatare foarte serioasă fiind pusă în mâinile unor atacatori mai puțin capabili sau needucați și al unor copii cu scenarii.
„Pe măsură ce trece timpul, cu cât aceste instrumente devin mai disponibile, cu atât Follina va fi folosită ca metodă de malware. livrare la mașinile țintă compromițătoare”, a avertizat Cemerikic, îndemnând oamenii să-și corecteze mașinile Windows fără întârziere.