Recomandări cheie
- A fost observat în sălbăticie un nou atac fără clic pe Windows, care poate compromite mașinile fără nicio acțiune a utilizatorului.
- Microsoft a recunoscut problema și a lansat pași de remediere, dar bug-ul nu are încă un patch oficial.
- Cercetătorii în domeniul securității văd că eroarea este exploatată în mod activ și se așteaptă la mai multe atacuri în viitorul apropiat.
Hackerii au găsit o modalitate de a pătrunde într-un computer Windows, pur și simplu trimițând un fișier rău intenționat special.
Dubled Follina, eroarea este destul de gravă, deoarece ar putea permite hackerilor să preia controlul complet asupra oricărui sistem Windows doar prin trimiterea unui document Microsoft Office modificat. În unele cazuri, oamenii nici măcar nu trebuie să deschidă fișierul, deoarece previzualizarea fișierului Windows este suficientă pentru a declanșa biții urâți. În special, Microsoft a recunoscut eroarea, dar nu a lansat încă o remediere oficială pentru a o anula.
„Această vulnerabilitate ar trebui să fie în continuare în fruntea listei de lucruri de care să vă faceți griji”, a scris dr. Johannes Ullrich, decanul de cercetare pentru SANS Technology Institute, în buletinul informativ săptămânal SANS. „În timp ce furnizorii de programe anti-malware actualizează rapid semnăturile, acestea sunt inadecvate pentru a proteja împotriva gamei largi de exploit-uri care pot profita de această vulnerabilitate.”
Previzualizare pentru compromis
Amenințarea a fost detectată pentru prima dată de cercetătorii japonezi în domeniul securității spre sfârșitul lunii mai, datorită unui document Word rău intenționat.
Cercetatorul de securitate Kevin Beaumont a dezvăluit vulnerabilitatea și a descoperit că fișierul.doc a încărcat o bucată falsă de cod HTML, care apoi apelează la Instrumentul de diagnosticare Microsoft pentru a executa un cod PowerShell, care, la rândul său, rulează sarcina utilă rău intenționată.
Windows folosește Instrumentul de diagnosticare Microsoft (MSDT) pentru a colecta și a trimite informații de diagnosticare atunci când ceva nu merge bine cu sistemul de operare. Aplicațiile apelează instrumentul folosind protocolul MSDT URL special (ms-msdt://), pe care Follina își propune să-l exploateze.
„Acest exploit este un munte de exploatații stivuite unul peste altul. Cu toate acestea, este, din păcate, ușor de re-creat și nu poate fi detectat de antivirus”, au scris susținătorii securității pe Twitter.
Într-o discuție prin e-mail cu Lifewire, Nikolas Cemerikic, inginer de securitate cibernetică la Immersive Labs, a explicat că Follina este unică. Nu urmează calea obișnuită de utilizare abuzivă a macrocomenzilor de birou, motiv pentru care poate chiar să facă ravagii pentru persoanele care au dezactivate macrocomenzi.
„De mulți ani, phishingul prin e-mail, combinat cu documentele Word rău intenționate, a fost cea mai eficientă modalitate de a obține acces la sistemul unui utilizator”, a subliniat Cemerikic. „Riscul acum este sporit de atacul Follina, deoarece victima trebuie doar să deschidă un document sau, în unele cazuri, să vizualizeze o previzualizare a documentului prin panoul de previzualizare Windows, eliminând în același timp necesitatea aprobării avertismentelor de securitate.”
Microsoft s-a grăbit să pună în aplicare câțiva pași de remediere pentru a atenua riscurile prezentate de Follina. „Atenuările disponibile sunt soluții dezordonate asupra cărora industria nu a avut timp să studieze impactul”, a scris John Hammond, cercetător senior în domeniul securității la Huntress, pe blogul companiei despre eroare. „Ele implică modificarea setărilor din Registrul Windows, ceea ce este o afacere serioasă, deoarece o intrare incorectă în Registrul poate distruge mașina dumneavoastră.”
Această vulnerabilitate ar trebui să fie în continuare în fruntea listei de lucruri de care să vă faceți griji.
Deși Microsoft nu a lansat un patch oficial pentru a remedia problema, există unul neoficial din proiectul 0patch.
Vorbind despre remediere, Mitja Kolsek, co-fondatorul proiectului 0patch, a scris că, deși ar fi simplu să dezactivați complet instrumentul Microsoft Diagnostic sau să codificați pașii de remediere ai Microsoft într-un patch, proiectul a mers pentru o abordare diferită, deoarece ambele abordări ar avea un impact negativ asupra performanței Instrumentului de diagnosticare.
Tocmai a început
Vânzătorii de securitate cibernetică au început deja să vadă că defectul este exploatat în mod activ împotriva unor ținte de profil în alt din SUA și Europa.
Deși toate exploatările actuale în sălbăticie par să folosească documente Office, Follina poate fi abuzată prin alți vectori de atac, a explicat Cemerikic.
Explicând de ce credea că Follina nu va dispărea prea curând, Cemerikic a spus că, la fel ca în cazul oricărei exploatări sau vulnerabilități majore, hackerii încep în cele din urmă să dezvolte și să lanseze instrumente pentru a ajuta eforturile de exploatare. Acest lucru transformă, în esență, aceste exploit-uri destul de complexe în atacuri punct-and-click.
„Atacatorii nu mai trebuie să înțeleagă cum funcționează atacul sau să înlănțuiască o serie de vulnerabilități, tot ce trebuie să facă este să facă clic pe „alerează” pe un instrument”, a spus Cemerikic.
El a susținut că exact la asta a asistat comunitatea de securitate cibernetică în ultima săptămână, o exploatare foarte serioasă fiind pusă în mâinile unor atacatori mai puțin capabili sau needucați și a unor copii cu scenarii.
„Pe măsură ce trece timpul, cu cât aceste instrumente devin mai disponibile, cu atât Follina va fi folosit mai mult ca metodă de livrare a malware-ului pentru a compromite mașinile țintă”, a avertizat Cemerikic, îndemnând oamenii să-și corecteze computerele Windows fără întârziere.