Βασικά Takeaways
- Μια νέα επίθεση με μηδενικό κλικ στα Windows που μπορεί να θέσει σε κίνδυνο μηχανήματα χωρίς καμία ενέργεια χρήστη έχει παρατηρηθεί στη φύση.
- Η Microsoft αναγνώρισε το πρόβλημα και έθεσε τα βήματα αποκατάστασης, αλλά το σφάλμα δεν έχει ακόμη επίσημη ενημέρωση κώδικα.
- Ερευνητές ασφαλείας βλέπουν ότι το σφάλμα γίνεται ενεργά εκμετάλλευση και αναμένουν περισσότερες επιθέσεις στο εγγύς μέλλον.
Χάκερ βρήκαν έναν τρόπο να εισβάλουν σε έναν υπολογιστή με Windows απλά στέλνοντας ένα ειδικά διαμορφωμένο κακόβουλο αρχείο.
Μεταγλωττισμένο Follina, το σφάλμα είναι αρκετά σοβαρό, καθώς θα μπορούσε να επιτρέψει στους χάκερ να αναλάβουν τον πλήρη έλεγχο οποιουδήποτε συστήματος των Windows, απλώς στέλνοντας ένα τροποποιημένο έγγραφο του Microsoft Office. Σε ορισμένες περιπτώσεις, οι άνθρωποι δεν χρειάζεται καν να ανοίξουν το αρχείο, καθώς η προεπισκόπηση του αρχείου των Windows είναι αρκετή για να ενεργοποιήσει τα δυσάρεστα κομμάτια. Σημειωτέον, η Microsoft έχει αναγνωρίσει το σφάλμα, αλλά δεν έχει ακόμη δημοσιεύσει επίσημη επιδιόρθωση για να το ακυρώσει.
"Αυτή η ευπάθεια θα πρέπει να βρίσκεται ακόμα στην κορυφή της λίστας με τα πράγματα για τα οποία πρέπει να ανησυχείτε", έγραψε στο εβδομαδιαίο ενημερωτικό δελτίο SANS ο Δρ. Johannes Ullrich, Κοσμήτορας Έρευνας για το Τεχνολογικό Ινστιτούτο SANS. "Ενώ οι προμηθευτές anti-malware ενημερώνουν γρήγορα τις υπογραφές, είναι ανεπαρκείς για την προστασία από το ευρύ φάσμα των εκμεταλλεύσεων που μπορεί να εκμεταλλευτούν αυτήν την ευπάθεια."
Προεπισκόπηση για συμβιβασμό
Η απειλή εντοπίστηκε για πρώτη φορά από Ιάπωνες ερευνητές ασφαλείας στα τέλη Μαΐου χάρη σε ένα κακόβουλο έγγραφο του Word.
Ο ερευνητής ασφαλείας Kevin Beaumont ξεδίπλωσε την ευπάθεια και ανακάλυψε ότι το αρχείο.doc φόρτωσε ένα ψεύτικο κομμάτι κώδικα HTML, το οποίο στη συνέχεια καλεί το Microsoft Diagnostics Tool για να εκτελέσει έναν κώδικα PowerShell, ο οποίος με τη σειρά του εκτελεί το κακόβουλο ωφέλιμο φορτίο.
Τα Windows χρησιμοποιούν το Microsoft Diagnostic Tool (MSDT) για τη συλλογή και αποστολή διαγνωστικών πληροφοριών όταν κάτι δεν πάει καλά με το λειτουργικό σύστημα. Οι εφαρμογές καλούν το εργαλείο χρησιμοποιώντας το ειδικό πρωτόκολλο URL MSDT (ms-msdt://), το οποίο η Follina στοχεύει να εκμεταλλευτεί.
"Αυτό το exploit είναι ένα βουνό από εκμεταλλεύσεις στοιβαγμένες το ένα πάνω στο άλλο. Ωστόσο, δυστυχώς, είναι εύκολο να δημιουργηθεί ξανά και δεν μπορεί να εντοπιστεί από antivirus", έγραψαν οι υποστηρικτές ασφαλείας στο Twitter.
Σε μια συζήτηση μέσω email με το Lifewire, ο Nikolas Cemerikic, Μηχανικός Cyber Security στην Immersive Labs, εξήγησε ότι η Follina είναι μοναδική. Δεν ακολουθεί τη συνήθη διαδρομή της κατάχρησης μακροεντολών γραφείου, γι' αυτό μπορεί ακόμη και να προκαλέσει τον όλεθρο σε άτομα που έχουν απενεργοποιήσει τις μακροεντολές.
"Για πολλά χρόνια, το ηλεκτρονικό ψάρεμα, σε συνδυασμό με κακόβουλα έγγραφα του Word, ήταν ο πιο αποτελεσματικός τρόπος για να αποκτήσετε πρόσβαση στο σύστημα ενός χρήστη", επεσήμανε ο Cemerikic. "Ο κίνδυνος τώρα αυξάνεται από την επίθεση Follina, καθώς το θύμα χρειάζεται μόνο να ανοίξει ένα έγγραφο ή, σε ορισμένες περιπτώσεις, να δει μια προεπισκόπηση του εγγράφου μέσω του παραθύρου προεπισκόπησης των Windows, ενώ καταργείται η ανάγκη έγκρισης προειδοποιήσεων ασφαλείας."
Η Microsoft έσπευσε να πραγματοποιήσει κάποια βήματα αποκατάστασης για να μετριάσει τους κινδύνους που εγκυμονούσε η Follina. «Οι μετριασμοί που είναι διαθέσιμοι είναι ακατάστατοι τρόποι αντιμετώπισης των οποίων η βιομηχανία δεν είχε χρόνο να μελετήσει τον αντίκτυπο», έγραψε ο John Hammond, ανώτερος ερευνητής ασφάλειας στο Huntress, στο ιστολόγιο βαθιάς κατάδυσης της εταιρείας για το σφάλμα. "Περιλαμβάνουν την αλλαγή των ρυθμίσεων στο μητρώο των Windows, κάτι που είναι σοβαρό, επειδή μια εσφαλμένη καταχώριση μητρώου θα μπορούσε να παρενοχλήσει τον υπολογιστή σας."
Αυτή η ευπάθεια θα πρέπει να εξακολουθεί να βρίσκεται στην κορυφή της λίστας με τα πράγματα για τα οποία πρέπει να ανησυχείτε.
Ενώ η Microsoft δεν έχει κυκλοφορήσει επίσημη ενημέρωση κώδικα για να διορθώσει το πρόβλημα, υπάρχει μια ανεπίσημη ενημέρωση από το έργο 0patch.
Μιλώντας για την επιδιόρθωση, ο Mitja Kolsek, συνιδρυτής του έργου 0patch, έγραψε ότι ενώ θα ήταν απλό να απενεργοποιήσετε εντελώς το εργαλείο Microsoft Diagnostic ή να κωδικοποιήσετε τα βήματα αποκατάστασης της Microsoft σε μια ενημέρωση κώδικα, το έργο προχώρησε μια διαφορετική προσέγγιση καθώς και οι δύο αυτές προσεγγίσεις θα επηρέαζαν αρνητικά την απόδοση του Διαγνωστικού Εργαλείου.
Μόλις Ξεκίνησε
Οι προμηθευτές κυβερνοασφάλειας έχουν ήδη αρχίσει να βλέπουν το ελάττωμα να χρησιμοποιείται ενεργά έναντι ορισμένων στόχων υψηλού προφίλ στις ΗΠΑ και την Ευρώπη.
Αν και όλα τα τρέχοντα exploits στη φύση φαίνεται να χρησιμοποιούν έγγραφα του Office, το Follina μπορεί να γίνει κατάχρηση μέσω άλλων φορέων επίθεσης, εξήγησε ο Cemerikic.
Εξηγώντας γιατί πίστευε ότι η Follina δεν πρόκειται να φύγει σύντομα, ο Cemerikic είπε ότι, όπως συμβαίνει με κάθε σημαντική εκμετάλλευση ή ευπάθεια, οι χάκερ αρχίζουν τελικά να αναπτύσσουν και να απελευθερώνουν εργαλεία για να βοηθήσουν τις προσπάθειες εκμετάλλευσης. Αυτό ουσιαστικά μετατρέπει αυτά τα αρκετά περίπλοκα exploits σε επιθέσεις point-and-click.
"Οι επιτιθέμενοι δεν χρειάζεται πλέον να κατανοούν πώς λειτουργεί η επίθεση ή να ενώνουν μια σειρά από τρωτά σημεία, το μόνο που χρειάζεται να κάνουν είναι να κάνουν κλικ στο "run" σε ένα εργαλείο", είπε ο Cemerikic.
Υποστήριξε ότι αυτό ακριβώς έχει δει η κοινότητα της κυβερνοασφάλειας την περασμένη εβδομάδα, με μια πολύ σοβαρή εκμετάλλευση που τίθεται στα χέρια λιγότερο ικανών ή αμόρφωτων επιτιθέμενων και σεναρίων.
"Καθώς ο καιρός προχωρά, όσο περισσότερα αυτά τα εργαλεία γίνονται διαθέσιμα, τόσο περισσότερο το Follina θα χρησιμοποιείται ως μέθοδος παράδοσης κακόβουλου λογισμικού για την παραβίαση μηχανών-στόχων", προειδοποίησε ο Cemerikic, προτρέποντας τους ανθρώπους να επιδιορθώσουν τα μηχανήματα Windows χωρίς καθυστέρηση.
