Datoteka .doc bi lahko ogrozila vaš računalnik z operacijskim sistemom Windows

June 08, 2022
VNovice Internet In Varnost

V naravi so opazili nov napad brez klikov na Windows, ki lahko ogrozi stroje brez kakršnega koli dejanja uporabnika.
Microsoft je težavo priznal in pripravil popravne korake, vendar hrošča še nima uradnega popravka.
Varnostni raziskovalci vidijo, da se hrošč aktivno izkorišča in pričakujejo več napadov v bližnji prihodnosti.

Mehanski hrošč v simulirani mreži svetlobe. — John M Lund Photography Inc / Getty Images

Hekerji so našli način za vdor v računalnik z operacijskim sistemom Windows preprosto s pošiljanjem posebej izdelane zlonamerne datoteke.

Poimenovana Follina, je napaka precej resna, saj bi lahko hekerjem omogočila popoln nadzor nad katerim koli sistemom Windows samo s pošiljanjem spremenjenega dokumenta Microsoft Office. V nekaterih primerih ljudem niti ni treba odpreti datoteke, saj je predogled datoteke Windows dovolj, da sproži neprijetne koščke. Predvsem Microsoft je napako priznal vendar še ni izdal uradnega popravka, ki bi ga izničil.

"Ta ranljivost bi morala biti še vedno na vrhu seznama stvari, zaradi katerih je treba skrbeti,"

dr. Johannes Ullrich, dekan za raziskave za Tehnološki inštitut SANS, so zapisali v Tedensko glasilo SANS. "Medtem ko prodajalci proti zlonamerni programski opremi hitro posodabljajo podpise, so neustrezni za zaščito pred širokim naborom izkoriščanja, ki lahko izkoristijo to ranljivost."

Predogled do kompromisa

Grožnja je bila prvič opazili japonski varnostni raziskovalci proti koncu maja z dovoljenjem zlonamernega Wordovega dokumenta.

Varnostni raziskovalec Kevin Beaumont razkrila ranljivost in odkrili datoteko .doc naložil lažni del kode HTML, ki nato pokliče Microsoftovo orodje za diagnostiko, da izvede kodo PowerShell, ki nato zažene zlonamerno koristno obremenitev.

Windows uporablja Microsoftovo diagnostično orodje (MSDT) za zbiranje in pošiljanje diagnostičnih informacij, ko gre kaj narobe z operacijskim sistemom. Aplikacije pokličejo orodje s posebnim protokolom MSDT URL (ms-msdt://), ki ga Follina želi izkoristiti.

"Ta podvig je gora podvigov, naloženih drug na drugega. Vendar ga je na žalost enostavno ponovno ustvariti in ga protivirusni program ne more zaznati,« so zapisali varnostni zagovorniki na Twitterju.

V e-poštni razpravi z Lifewire, Nikolaš Čemerikić, inženir kibernetske varnosti pri Poglobljeni laboratoriji, je pojasnil, da je Follina edinstven. Ne gre po običajni poti zlorabe pisarniških makrov, zato lahko povzroči celo opustošenje ljudi, ki imajo onemogočene makre.

»Že vrsto let je lažno predstavljanje e-pošte v kombinaciji z zlonamernimi Wordovimi dokumenti najučinkovitejši način za dostop do uporabniškega sistema,« je poudaril Čemerikić. "Tveganje je zdaj povečano zaradi napada Follina, saj mora žrtev samo odpreti dokument ali v nekaterih primerih, si ogledate predogled dokumenta v podoknu za predogled sistema Windows, hkrati pa odstranite potrebo po odobritvi varnosti opozorila."

Microsoft je nekaj hitro objavil sanacijske korake za zmanjšanje tveganj, ki jih predstavlja Follina. "Razpoložljive ublažitve so neurejene rešitve, za katere industrija ni imela časa preučiti vpliva," so zapisali. John Hammond, višji varnostni raziskovalec na lovka, v podjetju blog globokega potapljanja na hrošču. "Vključujejo spreminjanje nastavitev v registru Windows, kar je resen posel, saj bi napačen vnos v register lahko pokvaril vaš računalnik."

Ta ranljivost bi morala biti še vedno na vrhu seznama stvari, zaradi katerih je treba skrbeti.

Čeprav Microsoft ni izdal uradnega popravka za odpravo težave, obstaja neuradni Iz 0patch projekt.

Pogovor o popravku, Mitja Kolšek, soustanovitelj projekta 0patch, je zapisal, da bi bilo preprosto popolnoma onemogočiti orodje Microsoft Diagnostic ali kodificirati Microsoftovo sanacijskih korakov v popravek, je projekt uporabil drugačen pristop, saj bi oba pristopa negativno vplivala na delovanje Diagnostično orodje.

Pravkar se je začelo

Prodajalci kibernetske varnosti so že začeli opažati, da gre za pomanjkljivost aktivno izkoriščana proti nekaterim odmevnim ciljem v ZDA in Evropi.

Čeprav se zdi, da vsi trenutni podvigi v divjini uporabljajo Officeove dokumente, je Follina mogoče zlorabiti prek drugih vektorjev napada, je pojasnil Čemerikič.

Čemerikič je pojasnil, zakaj verjame, da Follina ne bo kmalu izginil, je dejal, da tako kot vsak velikega izkoriščanja ali ranljivosti, hekerji sčasoma začnejo razvijati in izdajati orodja za pomoč pri izkoriščanju prizadevanja. To v bistvu spremeni te precej zapletene izkoriščanje v napade pokaži in klikni.

Od blizu na roki nekoga, ki upravlja z računalniško miško, z računalnikom in zvočniki v ozadju. — Evgeniy Shkolenko / Getty Images

"Napadalcem ni več treba razumeti, kako napad deluje, ali združiti vrste ranljivosti, vse kar morajo storiti je, da kliknejo 'zaženi' na orodju," je dejal Čemerikić.

Trdil je, da je prav temu, čemur je skupnost za kibernetsko varnost priča v zadnjem tednu, zelo resen izkoriščanje v roke manj sposobnih ali neizobraženih napadalcev in skriptnih otrok.

"Ko bo čas napredoval, bolj ko bodo ta orodja na voljo, bolj bo Follina uporabljena kot metoda zlonamerne programske opreme dostavo za ogrožanje ciljnih računalnikov,« je opozoril Čemerikič in ljudi pozval, naj popravijo svoje Windows stroje brez zamuda.