Klíčové poznatky
- Nový Windows zero-click útok, který může kompromitovat počítače bez jakékoli akce uživatele, byl pozorován ve volné přírodě.
- Microsoft uznal problém a vydal kroky k nápravě, ale chyba zatím nemá oficiální opravu.
- Bezpečnostní výzkumníci vidí, že chyba je aktivně využívána, a očekávají další útoky v blízké budoucnosti.
Hackeři našli způsob, jak proniknout do počítače se systémem Windows jednoduše odesláním speciálně vytvořeného škodlivého souboru.
Chyba nazývaná Follina, je poměrně závažná, protože by mohla hackerům umožnit převzít úplnou kontrolu nad jakýmkoli systémem Windows pouhým odesláním upraveného dokumentu Microsoft Office. V některých případech lidé ani nemusí soubor otevřít, protože ke spuštění ošklivých bitů stačí náhled souboru Windows. Microsoft chybu uznal, ale zatím nevydal oficiální opravu, která by ji zrušila.
"Tato zranitelnost by měla být stále na prvním místě seznamu věcí, kterých je třeba se obávat," napsal v týdenním zpravodaji SANS Dr. Johannes Ullrich, děkan výzkumu SANS Technology Institute. "Zatímco dodavatelé anti-malwaru rychle aktualizují signatury, nedostačují k ochraně před širokou škálou exploitů, které mohou využít této zranitelnosti."
Náhled ke kompromisu
Hrozbu poprvé zaznamenali japonští bezpečnostní výzkumníci koncem května díky škodlivému dokumentu aplikace Word.
Bezpečnostní výzkumník Kevin Beaumont odhalil zranitelnost a objevil, že soubor.doc načetl falešný kus HTML kódu, který pak vyžaduje diagnostický nástroj společnosti Microsoft ke spuštění kódu PowerShell, který zase spustí škodlivý obsah.
Windows používá Microsoft Diagnostic Tool (MSDT) ke shromažďování a odesílání diagnostických informací, když se něco pokazí s operačním systémem. Aplikace volají nástroj pomocí speciálního protokolu MSDT URL (ms-msdt://), který se Follina snaží zneužít.
"Tento exploit je hora exploitů naskládaných na sebe. Je však bohužel snadné jej znovu vytvořit a nelze jej detekovat antivirem," napsali na Twitteru obhájci bezpečnosti.
V e-mailové diskusi s Lifewire vysvětlil Nikolas Cemerikic, inženýr kybernetické bezpečnosti v Immersive Labs, že Follina je jedinečná. Nevede obvyklou cestou zneužití kancelářských maker, a proto může způsobit zkázu i lidem, kteří makra deaktivovali.
„Po mnoho let byl e-mailový phishing v kombinaci se škodlivými dokumenty Wordu nejúčinnějším způsobem, jak získat přístup do systému uživatele,“zdůraznil Cemerikic. "Riziko je nyní zvýšeno útokem Follina, protože oběť potřebuje pouze otevřít dokument nebo v některých případech zobrazit náhled dokumentu prostřednictvím podokna náhledu Windows, přičemž není nutné schvalovat bezpečnostní varování."
Microsoft rychle vydal několik nápravných kroků ke zmírnění rizik, která Follina představuje. "Dostupná zmírnění dopadů jsou chaotická řešení, která průmysl neměl čas prostudovat jejich dopad," napsal John Hammond, vedoucí bezpečnostní výzkumník ve společnosti Huntress, na firemním blogu věnovaném této chybě. "Zahrnují změnu nastavení v registru Windows, což je vážná věc, protože nesprávná položka registru by mohla zničit váš počítač."
Tato chyba zabezpečení by měla být stále na prvním místě seznamu věcí, kterých je třeba se obávat.
I když Microsoft nevydal oficiální opravu, která by problém vyřešila, existuje neoficiální oprava z projektu 0patch.
Mitja Kolsek, spoluzakladatel projektu 0patch, při rozhovoru o opravě napsal, že i když by bylo snadné úplně deaktivovat diagnostický nástroj Microsoft nebo kodifikovat nápravné kroky společnosti Microsoft do opravy, projekt se vyplatil. odlišný přístup, protože oba tyto přístupy by negativně ovlivnily výkon diagnostického nástroje.
Právě to začalo
Prodejci kybernetické bezpečnosti již začali pozorovat, jak je tento nedostatek aktivně využíván proti některým významným cílům v USA a Evropě.
I když se zdá, že všechny současné exploity ve volné přírodě používají dokumenty Office, Follina může být zneužita prostřednictvím jiných vektorů útoku, vysvětlil Cemerikic.
Vysvětlil, proč věřil, že Follina v brzké době nezmizí, Cemerikic řekl, že stejně jako u každého velkého exploitu nebo zranitelnosti hackeři nakonec začnou vyvíjet a uvolňovat nástroje na podporu úsilí o vykořisťování. To v podstatě mění tyto poměrně složité exploity na útoky typu point-and-click.
„Útočníci už nemusejí rozumět tomu, jak útok funguje, nebo řetězit dohromady řadu zranitelností, stačí, když na nástroji kliknou na ‚spustit‘,“řekl Cemerikic.
Argumentoval tím, že přesně toho byla komunita kybernetické bezpečnosti svědkem za poslední týden, kdy se do rukou méně schopných nebo nevzdělaných útočníků a skriptovacích dětí dostal velmi vážný exploit.
„Čím více bude těchto nástrojů k dispozici, tím více bude Follina používána jako způsob doručování malwaru ke kompromitaci cílových počítačů,“varoval Cemerikic a vyzval lidi, aby bez prodlení opravili své počítače s Windows.
