Key Takeaways
- Novi Windows napad nultim klikom koji može kompromitovati mašine bez ikakve korisničke akcije primećen je u divljini.
- Microsoft je priznao problem i objavio korake za popravku, ali greška još nema zvaničnu zakrpu.
- Istraživači sigurnosti vide da se greška aktivno iskorištava i očekuju još napada u bliskoj budućnosti.
Hakeri su pronašli način da provale u Windows računar jednostavnim slanjem posebno kreiranog zlonamjernog fajla.
Nazvana Follina, greška je prilično ozbiljna jer može dozvoliti hakerima da preuzmu potpunu kontrolu nad bilo kojim Windows sistemom samo slanjem izmijenjenog Microsoft Office dokumenta. U nekim slučajevima, ljudi čak i ne moraju da otvaraju datoteku, jer je pregled Windows fajla dovoljan da pokrene gadne delove. Primjetno, Microsoft je priznao grešku, ali još nije objavio službenu ispravku kojom bi je poništio.
"Ova ranjivost bi i dalje trebala biti na vrhu liste stvari o kojima treba brinuti", napisao je dr Johannes Ullrich, dekan istraživačkog odjela SANS Technology Institute, u sedmičnom biltenu SANS-a. "Dok dobavljači anti-malvera brzo ažuriraju potpise, oni su neadekvatni za zaštitu od širokog spektra eksploatacija koje mogu iskoristiti ovu ranjivost."
Pregled za kompromis
Pretnju su prvi uočili japanski istraživači bezbednosti krajem maja zahvaljujući zlonamernom Word dokumentu.
Istraživač sigurnosti Kevin Beaumont otkrio je ranjivost i otkrio da je.doc datoteka učitala lažni dio HTML koda, koji zatim poziva Microsoftov alat za dijagnostiku da izvrši PowerShell kod, koji zauzvrat pokreće zlonamjerno opterećenje.
Windows koristi Microsoft Diagnostic Tool (MSDT) za prikupljanje i slanje dijagnostičkih informacija kada nešto krene po zlu sa operativnim sistemom. Aplikacije pozivaju alat koristeći poseban MSDT URL protokol (ms-msdt://), koji Follina želi iskoristiti.
"Ovaj exploit je brdo eksploatacija naslaganih jedan na drugi. Međutim, nažalost, lako ga je ponovo kreirati i antivirus ne može ga otkriti", napisali su zagovornici sigurnosti na Twitteru.
U e-mail diskusiji sa Lifewireom, Nikolas Čemerikić, inženjer sajber bezbednosti u Immersive Labs, objasnio je da je Follina jedinstvena. Ne ide uobičajenim putem zloupotrebe kancelarijskih makroa, zbog čega može čak izazvati pustoš za ljude koji su onemogućili makroe.
„Dugi niz godina phishing e-pošte, u kombinaciji sa zlonamjernim Word dokumentima, bio je najefikasniji način za pristup sistemu korisnika“, istakao je Čemerikić. "Rizik je sada povećan napadom Follina, jer žrtva treba samo da otvori dokument, ili u nekim slučajevima, pogleda pregled dokumenta preko okna za pregled u Windowsu, istovremeno uklanjajući potrebu za odobravanjem sigurnosnih upozorenja."
Microsoft je brzo pokrenuo neke korake za sanaciju kako bi ublažio rizike koje predstavlja Follina. „Dostupna ublažavanja su neuredna rješenja za koja industrija nije imala vremena da prouči njihov utjecaj“, napisao je John Hammond, viši istraživač sigurnosti u Huntressu, na blogu kompanije o grešci. "Oni uključuju promjenu postavki u Windows Registry, što je ozbiljan posao jer bi netačan unos u Registry mogao oštetiti vašu mašinu."
Ova ranjivost bi i dalje trebala biti na vrhu liste stvari o kojima treba brinuti.
Iako Microsoft nije objavio zvaničnu zakrpu da bi riješio problem, postoji nezvanična iz projekta 0patch.
Razgovarajući o popravci, Mitja Kolsek, suosnivač projekta 0patch, napisao je da, iako bi bilo jednostavno potpuno onemogućiti Microsoftov alat za dijagnostiku ili kodificirati Microsoftove korake sanacije u zakrpu, projekt je krenuo drugačiji pristup jer bi oba ova pristupa negativno uticala na performanse dijagnostičkog alata.
Upravo je počelo
Prodavci sajber-sigurnosti su već počeli da uočavaju da se nedostatak aktivno iskorištava protiv nekih visokoprofilnih meta u SAD-u i Evropi.
Iako se čini da svi trenutni eksploati u divljini koriste Office dokumente, Follina se može zloupotrebiti kroz druge vektore napada, objasnio je Čemerikić.
Objašnjavajući zašto vjeruje da Follina neće uskoro nestati, Čemerikić je rekao da, kao i kod svakog većeg eksploatacije ili ranjivosti, hakeri na kraju počinju da razvijaju i puštaju alate kako bi pomogli eksploataciju. Ovo u suštini pretvara ove prilično složene eksploatacije u napade pokaži i klikni.
"Napadači više ne moraju razumjeti kako napad funkcionira ili povezati niz ranjivosti, sve što treba da urade je da kliknu 'pokreni' na alatu", rekao je Čemerikić..
Tvrdio je da je to upravo ono čemu je zajednica kibernetičke sigurnosti svjedočila u protekloj sedmici, s vrlo ozbiljnim podvigom koji je stavljen u ruke manje sposobnim ili neobrazovanim napadačima i skriptama.
"Kako vrijeme bude odmicalo, što više ovi alati budu postali dostupni, Follina će se više koristiti kao metoda isporuke zlonamjernog softvera za kompromitaciju ciljnih mašina", upozorio je Čemerikić, pozivajući ljude da bez odlaganja zakrpe svoje Windows mašine.