A legfontosabb elvitelek
- A vadonban megfigyeltek egy új Windows zéró kattintásos támadást, amely felhasználói beavatkozás nélkül veszélyeztetheti a gépeket.
- A Microsoft elismerte a problémát, és javítási lépéseket tett, de a hibának még nincs hivatalos javítása.
- A biztonsági kutatók úgy látják, hogy a hibát aktívan kihasználják, és további támadásokra számítanak a közeljövőben.
A hackerek megtalálták a módját, hogy egy speciálisan kialakított rosszindulatú fájl küldésével betörjenek egy Windows számítógépbe.
A Follina névre keresztelt hiba meglehetősen komoly, mivel lehetővé teheti a hackerek számára, hogy egy módosított Microsoft Office dokumentum elküldésével teljes mértékben átvegyék az irányítást bármely Windows rendszer felett. Egyes esetekben az embereknek meg sem kell nyitniuk a fájlt, mivel a Windows fájl előnézete elegendő a csúnya bitek elindításához. A Microsoft elismerte a hibát, de még nem adott ki hivatalos javítást annak érvénytelenítésére.
"Ennek a sérülékenységnek továbbra is az aggodalomra okot adó dolgok listájának élén kell állnia" - írta Dr. Johannes Ullrich, a SANS Technology Institute kutatási dékánja a SANS heti hírlevelében. "Bár a kártevő-elhárító gyártók gyorsan frissítik az aláírásokat, ezek nem megfelelőek ahhoz, hogy megvédjék a sérülékenységet kihasználó kizsákmányolások széles skáláját."
Előzet a kompromisszumhoz
A fenyegetést először a japán biztonsági kutatók vették észre május végén, egy rosszindulatú Word-dokumentum jóvoltából.
Kevin Beaumont biztonsági kutató feltárta a sebezhetőséget, és felfedezte, hogy a.doc fájl egy hamis HTML-kódrészletet töltött be, amely azután felszólítja a Microsoft Diagnostics Tool-t, hogy futtasson egy PowerShell-kódot, amely viszont futtatja a rosszindulatú rakományt.
A Windows a Microsoft Diagnostic Tool (MSDT) segítségével gyűjti össze és küldi el a diagnosztikai információkat, ha valami meghibásodik az operációs rendszerrel. Az alkalmazások a speciális MSDT URL-protokoll (ms-msdt://) használatával hívják meg az eszközt, amelyet a Follina kíván kihasználni.
"Ez a kizsákmányolás a kizsákmányolások hegye, amelyek egymásra vannak rakva. Sajnos azonban könnyen újra létrehozható, és a vírusirtó nem tudja észlelni" - írták a biztonsági szószólók a Twitteren.
A Lifewire-rel folytatott e-mailes megbeszélésen Nikolas Cemerikic, az Immersive Labs kiberbiztonsági mérnöke elmagyarázta, hogy a Follina egyedülálló. Nem az irodai makrók visszaélésének szokásos útját követi, ezért akár pusztítást is okozhat azoknál, akik letiltották a makrókat.
"Sok éven át az e-mailes adathalászat a rosszindulatú Word-dokumentumokkal kombinálva a leghatékonyabb módja annak, hogy hozzáférjenek a felhasználók rendszeréhez" - mutatott rá Cemerikic. "A kockázatot most növeli a Follina támadás, mivel az áldozatnak csak meg kell nyitnia egy dokumentumot, vagy bizonyos esetekben meg kell tekintenie a dokumentum előnézetét a Windows előnézeti ablaktábláján, miközben nincs szükség a biztonsági figyelmeztetések jóváhagyására."
A Microsoft gyorsan hozott néhány helyreállító lépést a Follina által jelentett kockázatok mérséklésére. "A rendelkezésre álló mérséklések olyan rendetlen megoldások, amelyek hatását az iparágnak nem volt ideje tanulmányozni" - írta John Hammond, a Huntress vezető biztonsági kutatója a cég hibával foglalkozó blogjában. "Ezek magukban foglalják a Windows rendszerleíró adatbázis beállításainak megváltoztatását, ami komoly üzlet, mert egy helytelen beállításjegyzék-bejegyzés tönkreteheti a gépet."
Ennek a sérülékenységnek továbbra is az aggodalomra okot adó dolgok listájának élén kell lennie.
Bár a Microsoft nem adott ki hivatalos javítást a probléma megoldására, van egy nem hivatalos javítás a 0patch projektből.
A javításról beszélve Mitja Kolsek, a 0patch projekt társalapítója azt írta, hogy bár egyszerű lenne teljesen letiltani a Microsoft Diagnostic eszközt, vagy a Microsoft javítási lépéseit egy javításba kódolni, a projekt eltérő megközelítés, mivel mindkét megközelítés negatívan befolyásolná a diagnosztikai eszköz teljesítményét.
Ez még csak most kezdődik
A kiberbiztonsági szolgáltatók már látták, hogy a hibát aktívan kihasználják néhány nagy horderejű célpont ellen az Egyesült Államokban és Európában.
Bár úgy tűnik, hogy a vadonban minden jelenlegi kihasználás Office-dokumentumokat használ, a Follinával más támadási vektorokon keresztül is vissza lehet élni, magyarázta Cemerikic.
Cemerikic azt magyarázta, miért gondolta, hogy Follina nem fog egyhamar eltűnni, és elmondta, hogy mint minden nagyobb kizsákmányolás vagy sebezhetőség esetében, a hackerek végül olyan eszközöket fejlesztenek ki és adnak ki, amelyek segítik a kizsákmányolást. Ez lényegében ezeket a meglehetősen összetett támadásokat point-and-click támadásokká változtatja.
"A támadóknak többé nem kell megérteniük a támadás működését, és nem kell összeláncolniuk a sebezhetőségek sorozatát, mindössze rá kell kattintaniuk a "futtatás" gombra egy eszközön" - mondta Cemerikic.
Azzal érvelt, hogy a kiberbiztonsági közösség pontosan ennek volt tanúja az elmúlt hét során, és egy nagyon komoly kizsákmányolás került a kevésbé alkalmas vagy tanulatlan támadók és forgatókönyv-kölykök kezébe.
"Az idő előrehaladtával, minél többen válnak elérhetővé ezek az eszközök, a Follinát a rosszindulatú programok kézbesítésének módszereként fogják használni a célgépek kompromittálására" - figyelmeztetett Cemerikic, és arra kérte az embereket, hogy haladéktalanul javítsák meg a Windows-os gépeiket.