Ključni izsledki
- Opažen je bil nov napad z ničelnimi kliki sistema Windows, ki lahko ogrozi stroje brez kakršnega koli dejanja uporabnika.
- Microsoft je priznal težavo in objavil korake za odpravo napake, vendar napaka še nima uradnega popravka.
- Varnostni raziskovalci vidijo, da se hrošč aktivno izkorišča in pričakujejo več napadov v bližnji prihodnosti.
Hekerji so našli način za vdor v računalnik z operacijskim sistemom Windows preprosto s pošiljanjem posebej izdelane zlonamerne datoteke.
Napaka, imenovana Follina, je precej resna, saj lahko hekerjem omogoči popoln nadzor nad katerim koli sistemom Windows samo s pošiljanjem spremenjenega dokumenta Microsoft Office. V nekaterih primerih ljudem sploh ni treba odpreti datoteke, saj je predogled datoteke Windows dovolj, da sproži zoprne delce. Predvsem Microsoft je priznal napako, vendar še ni izdal uradnega popravka, ki bi jo izničil.
"Ta ranljivost bi morala biti še vedno na vrhu seznama stvari, o katerih bi morali skrbeti," je v tedenskem glasilu SANS zapisal dr. Johannes Ullrich, dekan za raziskave tehnološkega inštituta SANS. "Čeprav prodajalci proti zlonamerni programski opremi hitro posodabljajo podpise, niso primerni za zaščito pred širokim naborom izkoriščanj, ki lahko izkoristijo to ranljivost."
Predogled do kompromisa
Grožnjo so prvič opazili japonski varnostni raziskovalci proti koncu maja z dovoljenjem zlonamernega Wordovega dokumenta.
Raziskovalec varnosti Kevin Beaumont je razgrnil ranljivost in odkril, da je datoteka.doc naložila lažni del kode HTML, ki nato pokliče Microsoftovo diagnostično orodje, da izvede kodo PowerShell, ki posledično zažene zlonamerno obremenitev.
Windows uporablja Microsoftovo diagnostično orodje (MSDT) za zbiranje in pošiljanje diagnostičnih informacij, ko gre kaj narobe z operacijskim sistemom. Aplikacije pokličejo orodje s posebnim protokolom URL MSDT (ms-msdt://), ki ga Follina želi izkoristiti.
"Ta podvig je gora podvigov, naloženih drug na drugega. Vendar ga je na žalost enostavno znova ustvariti in ga protivirusni program ne more zaznati," so na Twitterju zapisali zagovorniki varnosti.
V e-poštni razpravi z Lifewire je Nikolas Cemerikic, inženir za kibernetsko varnost pri Immersive Labs, pojasnil, da je Follina edinstven. Ne gre po običajni poti zlorabe pisarniških makrov, zato lahko povzroči celo opustošenje ljudem, ki so onemogočili makre.
"E-poštno lažno predstavljanje v kombinaciji z zlonamernimi Wordovimi dokumenti je že vrsto let najučinkovitejši način za dostop do uporabnikovega sistema," je poudarila Čemerikičeva. "Tveganje je zdaj povečano zaradi napada Follina, saj mora žrtev samo odpreti dokument ali si v nekaterih primerih ogledati predogled dokumenta prek podokna za predogled sistema Windows, pri čemer ni več potrebe po odobritvi varnostnih opozoril."
Microsoft je hitro predstavil nekaj korakov za popravo, da bi ublažil tveganja, ki jih predstavlja Follina. "Blažitve, ki so na voljo, so neurejene rešitve, za katere industrija ni imela časa preučiti vpliva," je zapisal John Hammond, višji varnostni raziskovalec pri Huntressu, v blogu podjetja o hrošču. "Vključujejo spreminjanje nastavitev v registru Windows, kar je resen posel, saj bi lahko napačen vnos v registru pokvaril vaš računalnik."
Ta ranljivost bi morala biti še vedno na vrhu seznama stvari, zaradi katerih bi morali skrbeti.
Čeprav Microsoft ni izdal uradnega popravka za odpravo težave, je na voljo neuradni popravek iz projekta 0patch.
Ko je govoril o popravku, je Mitja Kolsek, soustanovitelj projekta 0patch, zapisal, da čeprav bi bilo preprosto povsem onemogočiti Microsoftovo diagnostično orodje ali kodificirati Microsoftove korake za popravilo v popravek, je projekt šel za drugačen pristop, saj bi oba pristopa negativno vplivala na delovanje diagnostičnega orodja.
Šele začelo se je
Proizvajalci kibernetske varnosti so že začeli opažati, da se napaka aktivno izkorišča proti nekaterim odmevnim tarčam v ZDA in Evropi.
Čeprav se zdi, da vsa trenutna izkoriščanja v naravi uporabljajo Officeove dokumente, je Follina mogoče zlorabiti z drugimi vektorji napadov, je pojasnil Cemerikic.
Ko je pojasnil, zakaj je verjel, da Follina ne bo kmalu izginil, je Cemerikic dejal, da tako kot pri vsakem večjem izkoriščanju ali ranljivosti hekerji sčasoma začnejo razvijati in objavljati orodja za pomoč pri izkoriščanju. To v bistvu spremeni te precej zapletene podvige v napade s pokaži in klikni.
"Napadalcem ni več treba razumeti, kako deluje napad ali povezovati vrsto ranljivosti, vse kar morajo storiti je, da kliknejo 'zaženi' na orodju," je dejal Cemerikic.
Trdil je, da je natanko temu priča skupnost kibernetske varnosti v preteklem tednu, pri čemer so zelo resno izkoriščanje dali v roke manj sposobnim ali neizobraženim napadalcem in skriptarjem.
"Ko čas napreduje, več ko bo teh orodij na voljo, bolj bo Follina uporabljena kot metoda dostave zlonamerne programske opreme za ogrožanje ciljnih strojev," je opozoril Čemerikič in ljudi pozval, naj nemudoma popravijo svoje računalnike z operacijskim sistemom Windows.
