Kluczowe dania na wynos
- Nowoczesny atak typu zero-click dla systemu Windows, który może narazić komputery bez żadnych działań użytkownika, został zaobserwowany na wolności.
- Microsoft potwierdził problem i przedstawił kroki naprawcze, ale błąd nie ma jeszcze oficjalnej łaty.
- Analitycy bezpieczeństwa widzą, że błąd jest aktywnie wykorzystywany i spodziewają się większej liczby ataków w najbliższej przyszłości.
Hakerzy znaleźli sposób na włamanie się do komputera z systemem Windows, po prostu wysyłając specjalnie spreparowany złośliwy plik.
Nazywany Follina, błąd jest dość poważny, ponieważ może umożliwić hakerom przejęcie pełnej kontroli nad dowolnym systemem Windows poprzez wysłanie zmodyfikowanego dokumentu Microsoft Office. W niektórych przypadkach ludzie nie muszą nawet otwierać pliku, ponieważ podgląd pliku systemu Windows wystarczy, aby wywołać nieprzyjemne bity. Warto zauważyć, że firma Microsoft potwierdziła błąd, ale nie wydała jeszcze oficjalnej poprawki, która by go anulowała.
„Ta usterka powinna nadal znajdować się na szczycie listy rzeczy, którymi należy się martwić”, napisał w cotygodniowym biuletynie SANS dr Johannes Ullrich, dziekan ds. badań Instytutu Technologii SANS. „Chociaż dostawcy oprogramowania chroniącego przed złośliwym oprogramowaniem szybko aktualizują sygnatury, nie są one wystarczające do ochrony przed szeroką gamą exploitów, które mogą wykorzystać tę lukę”.
Podgląd kompromisu
Zagrożenie zostało po raz pierwszy zauważone przez japońskich badaczy bezpieczeństwa pod koniec maja dzięki uprzejmości złośliwego dokumentu Word.
Badacz bezpieczeństwa Kevin Beaumont odkrył lukę w zabezpieczeniach i odkrył, że plik.doc załadował fałszywy fragment kodu HTML, który następnie wywołuje narzędzie Microsoft Diagnostics Tool w celu wykonania kodu PowerShell, który z kolei uruchamia złośliwy ładunek.
System Windows używa narzędzia diagnostycznego firmy Microsoft (MSDT) do zbierania i wysyłania informacji diagnostycznych, gdy coś pójdzie nie tak z systemem operacyjnym. Aplikacje wywołują to narzędzie przy użyciu specjalnego protokołu URL MSDT (ms-msdt://), który Follina ma na celu wykorzystanie.
„Ten exploit to góra exploitów ułożonych jeden na drugim. Niestety, jest on niestety łatwy do odtworzenia i nie może zostać wykryty przez program antywirusowy” – napisali zwolennicy bezpieczeństwa na Twitterze.
W dyskusji e-mailowej z Lifewire Nikolas Cemerikic, inżynier ds. bezpieczeństwa cybernetycznego w Immersive Labs, wyjaśnił, że Follina jest wyjątkowa. Nie podąża zwyczajową drogą niewłaściwego używania makr biurowych, dlatego może nawet siać spustoszenie wśród osób, które wyłączyły makra.
„Przez wiele lat phishing e-mailowy w połączeniu ze złośliwymi dokumentami Worda był najskuteczniejszym sposobem uzyskania dostępu do systemu użytkownika” – zauważył Cemerikic. „Ryzyko jest teraz zwiększone przez atak Follina, ponieważ ofiara musi tylko otworzyć dokument lub w niektórych przypadkach wyświetlić podgląd dokumentu za pomocą okienka podglądu systemu Windows, eliminując potrzebę zatwierdzania ostrzeżeń bezpieczeństwa.”
Microsoft szybko podjął kroki naprawcze, aby złagodzić ryzyko stwarzane przez Follina. „Dostępne środki zaradcze to niechlujne obejścia, których branża nie miała czasu na zbadanie wpływu” – napisał John Hammond, starszy analityk ds. bezpieczeństwa w Huntress, w swoim blogu poświęconym temu błędowi. „Obejmują one zmianę ustawień w Rejestrze Windows, co jest poważną sprawą, ponieważ nieprawidłowy wpis w Rejestrze może spowodować uszkodzenie komputera”.
Ta luka powinna nadal znajdować się na szczycie listy rzeczy, którymi należy się martwić.
Chociaż firma Microsoft nie wydała oficjalnej łatki naprawiającej ten problem, istnieje nieoficjalna łatka z projektu 0patch.
Omawiając poprawkę, Mitja Kolsek, współzałożyciel projektu 0patch, napisał, że chociaż całkowite wyłączenie narzędzia diagnostycznego firmy Microsoft lub skodyfikowanie kroków naprawczych firmy Microsoft w postaci łatki byłoby proste, projekt poszedł w kierunku inne podejście, ponieważ oba te podejścia miałyby negatywny wpływ na wydajność Narzędzia diagnostycznego.
To dopiero początek
Dostawcy cyberbezpieczeństwa już zauważyli, że luka jest aktywnie wykorzystywana przeciwko niektórym głośnym celom w Stanach Zjednoczonych i Europie.
Chociaż wszystkie obecne exploity na wolności wydają się wykorzystywać dokumenty Office, Follina może być nadużywana przez inne wektory ataku, wyjaśnił Cemerikic.
Wyjaśniając, dlaczego wierzył, że Follina nie zniknie w najbliższym czasie, Cemerikic powiedział, że tak jak w przypadku każdego poważnego exploita lub luki, hakerzy w końcu zaczynają opracowywać i wypuszczać narzędzia wspierające wysiłki związane z eksploatacją. To zasadniczo zamienia te dość złożone exploity w ataki typu „wskaż i kliknij”.
„Atakujący nie muszą już rozumieć, jak działa atak, ani łączyć ze sobą serii luk w zabezpieczeniach, wystarczy, że klikną „uruchom” na narzędziu”, powiedział Cemerikic.
Twierdził, że to jest dokładnie to, czego społeczność cyberbezpieczeństwa była świadkiem w ciągu ostatniego tygodnia, kiedy bardzo poważny exploit trafił w ręce mniej zdolnych lub niewykształconych napastników i skryptowych dzieciaków.
„W miarę upływu czasu, im więcej tych narzędzi stanie się dostępnych, tym częściej Follina będzie wykorzystywana jako metoda dostarczania złośliwego oprogramowania w celu złamania zabezpieczeń docelowych maszyn” – ostrzegł Cemerikic, zachęcając ludzi do niezwłocznego załatania swoich komputerów z systemem Windows.
