ไฟล์ .doc อาจทำให้คอมพิวเตอร์ Windows ของคุณตกอยู่ในความเสี่ยง

June 08, 2022
ในข่าว อินเทอร์เน็ตและความปลอดภัย

click fraud protection

การโจมตีแบบ zero-click แบบใหม่ของ Windows ที่สามารถประนีประนอมเครื่องโดยไม่ต้องดำเนินการใด ๆ ของผู้ใช้ได้รับการสังเกตในป่า
Microsoft รับทราบปัญหาและออกขั้นตอนการแก้ไข แต่จุดบกพร่องนั้นยังไม่มีโปรแกรมแก้ไขอย่างเป็นทางการ
นักวิจัยด้านความปลอดภัยเห็นว่าบั๊กกำลังถูกใช้งานอย่างแข็งขันและคาดว่าจะมีการโจมตีมากขึ้นในอนาคตอันใกล้

บั๊กเชิงกลในใยแสงจำลอง — John M Lund Photography Inc / Getty Images

แฮกเกอร์พบวิธีที่จะเจาะเข้าไปในคอมพิวเตอร์ที่ใช้ Windows เพียงแค่ส่งไฟล์ที่เป็นอันตรายที่สร้างขึ้นมาเป็นพิเศษ

ข้อผิดพลาดที่เรียกว่า Follina นั้นค่อนข้างร้ายแรงเพราะอาจทำให้แฮกเกอร์สามารถควบคุมระบบ Windows ใด ๆ ได้อย่างสมบูรณ์เพียงแค่ส่งเอกสาร Microsoft Office ที่แก้ไขแล้ว ในบางกรณี ผู้ใช้ไม่จำเป็นต้องเปิดไฟล์ด้วยซ้ำ เพราะการแสดงตัวอย่างไฟล์ของ Windows ก็เพียงพอแล้วที่จะกระตุ้นบิตที่น่ารังเกียจ โดยเฉพาะอย่างยิ่ง Microsoft ได้รับทราบข้อผิดพลาด แต่ยังไม่ได้เผยแพร่การแก้ไขอย่างเป็นทางการเพื่อทำให้เป็นโมฆะ

"ช่องโหว่นี้ควรอยู่ในอันดับต้น ๆ ของสิ่งที่ต้องกังวล" ดร.โยฮันเนส อุลริช, คณบดีฝ่ายวิจัยเพื่อ สถาบันเทคโนโลยี SANS, เขียนใน จดหมายข่าวรายสัปดาห์ของ SANS

. "ในขณะที่ผู้จำหน่ายโปรแกรมป้องกันมัลแวร์กำลังอัปเดตลายเซ็นอย่างรวดเร็ว แต่ก็ไม่เพียงพอที่จะป้องกันการเจาะช่องโหว่ต่างๆ ที่อาจใช้ประโยชน์จากช่องโหว่นี้"

ดูตัวอย่างเพื่อประนีประนอม

ภัยคุกคามคือ พบครั้งแรก โดยนักวิจัยด้านความปลอดภัยของญี่ปุ่นเมื่อปลายเดือนพฤษภาคม ได้รับความอนุเคราะห์จากเอกสาร Word ที่เป็นอันตราย

นักวิจัยด้านความปลอดภัย เควิน โบมอนต์ เปิดเผยจุดอ่อนและ ค้นพบไฟล์ .doc โหลดโค้ด HTML ปลอม ซึ่งจากนั้นเรียกใช้ Microsoft Diagnostics Tool เพื่อรันโค้ด PowerShell ซึ่งจะรันเพย์โหลดที่เป็นอันตราย

Windows ใช้เครื่องมือวินิจฉัยของ Microsoft (MSDT) เพื่อรวบรวมและส่งข้อมูลการวินิจฉัยเมื่อมีข้อผิดพลาดเกิดขึ้นกับระบบปฏิบัติการ แอปเรียกใช้เครื่องมือโดยใช้โปรโตคอล MSDT URL พิเศษ (ms-msdt://) ซึ่ง Follina ตั้งเป้าที่จะหาประโยชน์

"การหาประโยชน์นี้เป็นภูเขาแห่งการหาประโยชน์ที่ซ้อนทับกัน อย่างไรก็ตาม น่าเสียดายที่จะสร้างใหม่ได้ง่าย และโปรแกรมป้องกันไวรัสตรวจไม่พบ" เขียนทนายด้านความปลอดภัย บนทวิตเตอร์.

ในการสนทนาทางอีเมลกับ Lifewire นิโคลัส เซเมริคิช, Cyber Security Engineer ที่ Immersive Labsอธิบายว่า Follina มีเอกลักษณ์เฉพาะตัว ไม่ใช้เส้นทางปกติของการใช้มาโครของ office ในทางที่ผิด ซึ่งเป็นสาเหตุที่ทำให้ผู้ที่ปิดใช้งานมาโครเสียหายได้

"หลายปีที่ผ่านมาฟิชชิ่งอีเมล รวมกับเอกสาร Word ที่เป็นอันตราย เป็นวิธีที่มีประสิทธิภาพมากที่สุดในการเข้าถึงระบบของผู้ใช้" Cemerikic ชี้ “ตอนนี้ความเสี่ยงเพิ่มขึ้นจากการโจมตีของ Follina เนื่องจากเหยื่อต้องการเปิดเอกสารเท่านั้น หรือในบางกรณี ดูตัวอย่างเอกสารผ่านบานหน้าต่างแสดงตัวอย่าง Windows โดยไม่จำเป็นต้องอนุมัติการรักษาความปลอดภัย คำเตือน"

Microsoft ได้นำออกมาอย่างรวดเร็ว ขั้นตอนการแก้ไข เพื่อลดความเสี่ยงที่เกิดจาก Follina "การบรรเทาผลกระทบที่มีอยู่เป็นวิธีแก้ปัญหาที่ยุ่งยากซึ่งอุตสาหกรรมไม่มีเวลาศึกษาผลกระทบ" เขียน จอห์น แฮมมอนด์, นักวิจัยด้านความปลอดภัยอาวุโสที่ นักล่า, ในบริษัท บล็อกเจาะลึก บนจุดบกพร่อง "สิ่งเหล่านี้เกี่ยวข้องกับการเปลี่ยนแปลงการตั้งค่าใน Windows Registry ซึ่งเป็นธุรกิจที่จริงจังเพราะรายการ Registry ที่ไม่ถูกต้องอาจทำให้เครื่องของคุณเสียหายได้"

ช่องโหว่นี้ควรอยู่ที่ด้านบนของรายการสิ่งที่ต้องกังวล

แม้ว่า Microsoft ยังไม่ได้ออกแพตช์อย่างเป็นทางการเพื่อแก้ไขปัญหา แต่ก็มี อย่างไม่เป็นทางการ จาก 0แพทช์โปรเจ็กต์.

พูดคุยผ่านการแก้ไข มิตจา โคลเสกผู้ร่วมก่อตั้งโครงการ 0patch เขียนว่า แม้ว่าจะเป็นการง่ายที่จะปิดการใช้งานเครื่องมือวินิจฉัยของ Microsoft ทั้งหมดหรือเพื่อประมวลข้อมูลของ Microsoft ขั้นตอนการแก้ไขเป็นแพตช์ โปรเจ็กต์ใช้แนวทางที่แตกต่างออกไป เนื่องจากวิธีการทั้งสองนี้จะส่งผลเสียต่อประสิทธิภาพของ เครื่องมือวินิจฉัย

มันเพิ่งเริ่มต้น

ผู้ค้าระบบความปลอดภัยทางไซเบอร์เริ่มเห็นข้อบกพร่องแล้ว ถูกเอารัดเอาเปรียบอย่างแข็งขัน กับเป้าหมายระดับสูงในสหรัฐอเมริกาและยุโรป

แม้ว่าการหาประโยชน์ทั้งหมดในปัจจุบันในป่าดูเหมือนจะใช้เอกสาร Office แต่ Follina อาจถูกทำร้ายผ่านเวกเตอร์การโจมตีอื่นๆ Cemrikic อธิบาย

อธิบายว่าเหตุใดเขาจึงเชื่อว่าฟอลลิน่าจะไม่จากไปในเร็วๆ นี้ เซเมอริคิชกล่าวเช่นเดียวกับคนอื่นๆ การแสวงหาประโยชน์หรือช่องโหว่ที่สำคัญ ในที่สุดแฮกเกอร์ก็เริ่มพัฒนาและเผยแพร่เครื่องมือเพื่อช่วยในการเจาะระบบ ความพยายาม. โดยพื้นฐานแล้วสิ่งนี้จะเปลี่ยนช่องโหว่ที่ค่อนข้างซับซ้อนเหล่านี้เป็นการโจมตีแบบชี้แล้วคลิก

ภาพระยะใกล้บนมือของใครบางคนที่ใช้เมาส์คอมพิวเตอร์ โดยมีคอมพิวเตอร์และลำโพงอยู่เบื้องหลัง — EvgeniyShkolenko / Getty Images

“ผู้โจมตีไม่จำเป็นต้องเข้าใจวิธีการทำงานของการโจมตีหรือเชื่อมโยงชุดของช่องโหว่อีกต่อไป สิ่งที่พวกเขาต้องทำคือคลิก 'เรียกใช้' ที่เครื่องมือ” Cemerikic กล่าว

เขาแย้งว่านี่คือสิ่งที่ชุมชนความปลอดภัยทางไซเบอร์ได้เห็นในช่วงสัปดาห์ที่ผ่านมาด้วย การเอารัดเอาเปรียบที่ร้ายแรงมากอยู่ในมือของผู้โจมตีและสคริปต์ตัวเล็กที่มีความสามารถหรือไม่มีการศึกษา

"เมื่อเวลาผ่านไป ยิ่งมีเครื่องมือเหล่านี้มากเท่าไร Follina จะถูกใช้เป็นวิธีการของมัลแวร์มากขึ้นเท่านั้น ส่งไปยังเครื่องเป้าหมายประนีประนอม” Cemerikic เตือนกระตุ้นให้ผู้คนติดตั้งเครื่อง Windows ของพวกเขาโดยไม่ต้อง ล่าช้า.