Датотека .доц може угрозити ваш Виндовс рачунар

June 08, 2022
УВести Интернет и безбедност

Нови Виндовс напад нултим кликом који може да компромитује машине без икакве акције корисника примећен је у дивљини.
Мицрософт је признао проблем и објавио кораке за отклањање проблема, али грешка још увек нема званичну закрпу.
Истраживачи безбедности виде да се грешка активно искоришћава и очекују још напада у блиској будућности.

Механичка буба у симулираној мрежи светлости. — Јохн М Лунд Пхотограпхи Инц / Гетти Имагес

Хакери су пронашли начин да провале у Виндовс рачунар једноставним слањем посебно направљене злонамерне датотеке.

Названа Фоллина, грешка је прилично озбиљна јер може дозволити хакерима да преузму потпуну контролу над било којим Виндовс системом само слањем модификованог Мицрософт Оффице документа. У неким случајевима, људи чак и не морају да отворе датотеку, јер је преглед Виндовс датотеке довољан да покрене гадне делове. Посебно, Мицрософт је признао грешку али још увек није објавио званичну исправку која би је поништила.

„Ова рањивост би и даље требало да буде на врху листе ствари о којима треба да бринете“, др Јоханес Улрих

, декан истраживања за Технолошки институт САНС, написали су у Недељни билтен САНС-а. „Док продавци анти-малвера брзо ажурирају потписе, они су неадекватни да заштите од широког спектра експлоатација које могу искористити ову рањивост.“

Преглед до компромиса

Претња је била први уочен од стране јапанских истраживача безбедности крајем маја захваљујући злонамерном Ворд документу.

Истраживач безбедности Кевин Беаумонт разоткрила рањивост и открио .доц датотеку учитао лажни део ХТМЛ кода, који затим позива Мицрософт алатку за дијагностику да изврши ПоверСхелл код, који заузврат покреће злонамерно оптерећење.

Виндовс користи Мицрософт Диагностиц Тоол (МСДТ) за прикупљање и слање дијагностичких информација када нешто крене наопако са оперативним системом. Апликације позивају алатку користећи посебан МСДТ УРЛ протокол (мс-мсдт://), који Фолина жели да искористи.

„Овај подвиг је брдо подвига наслаганих један на други. Међутим, нажалост, лако га је поново креирати и антивирус не може да га открије“, писали су заговорници безбедности на Твитеру.

У е-поруци са Лифевире-ом, Николас Чемерикић, инжењер сајбер безбедности у Иммерсиве Лабс, објаснио је да је Фолина јединствена. Не иде уобичајеним путем злоупотребе канцеларијских макроа, због чега чак може да изазове пустош људима који имају онемогућене макрое.

„Фишинг е-поште дуги низ година, у комбинацији са злонамерним Ворд документима, представља најефикаснији начин за приступ систему корисника“, истакао је Чемерикић. „Ризик је сада повећан нападом Фоллина, јер жртва треба само да отвори документ, или у неким случајевима, прегледајте преглед документа преко Виндовс окна за преглед, а истовремено уклањате потребу за одобравањем безбедности упозорења“.

Мицрософт је брзо објавио неке кораци санације да ублажи ризике које представља Фолина. „Ублажавања која су доступна су неуредна решења за која индустрија није имала времена да проучи утицај“, написао је Џон Хамонд, виши истраживач безбедности у Хунтресс, у компанији блог дубоког роњења на бубу. „Оне укључују промену поставки у Виндовс регистру, што је озбиљан посао јер би нетачан унос у регистратор могао да уништи вашу машину.“

Ова рањивост би и даље требало да буде на врху листе ствари о којима треба да бринете.

Иако Мицрософт није објавио званичну закрпу да би решио проблем, постоји незванична од 0патцх пројекат.

Разговарајући о поправци, Митја Колсек, суоснивач пројекта 0патцх, написао је да би било једноставно потпуно онемогућити Мицрософт Диагностиц алат или кодификовати Мицрософтов ремедијације у закрпу, пројекат је отишао на другачији приступ јер би оба ова приступа негативно утицала на перформансе Дијагностички алат.

Тек је почело

Продавци сајбер безбедности су већ почели да уочавају недостатак активно експлоатисане против неких високопрофилних циљева у САД и Европи.

Иако се чини да се у свим тренутним експлоатацијама у дивљини користе Оффице документи, Фолина може бити злоупотребљена кроз друге векторе напада, објаснио је Чемерикић.

Објашњавајући зашто верује да Фолина неће ускоро отићи, Чемерикић је рекао да, као и сваки велика експлоатација или рањивост, хакери на крају почну да развијају и пуштају алате за помоћ при експлоатацији Напори. Ово у суштини претвара ове прилично сложене експлоатације у нападе покажи и кликни.

Крупни план на нечијој руци која управља компјутерским мишем, са рачунаром и звучницима у позадини. — Евгениј Школенко / Гетти Имагес

„Нападачи више не морају да разумеју како напад функционише или да повезују низ рањивости, све што треба да ураде је да кликну ’покрени’ на алату“, рекао је Чемерикић.

Он је тврдио да је то управо оно чему је заједница сајбер безбедности сведочила током протекле недеље, са веома озбиљан експлоат који се ставља у руке мање способних или необразованих нападача и клинаца са скриптама.

„Како време одмиче, што више ових алата буде доступно, то ће се Фоллина више користити као метод малвера испоруке компромитују циљне машине“, упозорио је Чемерикић, позивајући људе да закрпе своје Виндовс машине без кашњење.