Atslēgas līdzņemšanai
- Savvaļā ir novērots jauns Windows nulles klikšķu uzbrukums, kas var apdraudēt iekārtas bez jebkādas lietotāja darbības.
- Microsoft ir atzinusi problēmu un ieviesusi labošanas darbības, taču kļūdai vēl nav oficiāla ielāpa.
- Drošības pētnieki redz, ka kļūda tiek aktīvi izmantota, un tuvākajā nākotnē sagaida vairāk uzbrukumu.
Hakeri ir atraduši veidu, kā ielauzties Windows datorā, vienkārši nosūtot īpaši izstrādātu ļaunprātīgu failu.
Nosaukta par Follinu, kļūda ir diezgan nopietna, jo tā var ļaut hakeriem pilnībā kontrolēt jebkuru Windows sistēmu, vienkārši nosūtot modificētu Microsoft Office dokumentu. Dažos gadījumos cilvēkiem pat nav jāatver fails, jo Windows faila priekšskatījums ir pietiekams, lai aktivizētu šķebinošos bitus. Proti, Microsoft ir atzinis kļūdu, bet vēl nav izlaidis oficiālu labojumu, lai to atceltu.
"Šai ievainojamībai joprojām vajadzētu būt to lietu saraksta augšgalā, par kurām jāuztraucas," SANS iknedēļas informatīvajā izdevumā rakstīja doktors Johanness Ulrihs, SANS Tehnoloģiju institūta pētniecības dekāns. "Lai gan pretļaunatūras programmatūras pārdevēji ātri atjaunina parakstus, tie nav pietiekami, lai aizsargātu pret plašo izmantošanu, kas var izmantot šīs ievainojamības priekšrocības."
Kompromisa priekšskatījums
Japāņu drošības pētnieki pirmo reizi draudus pamanīja maija beigās, pateicoties ļaunprātīgam Word dokumentam.
Drošības pētnieks Kevins Bomonts atklāja ievainojamību un atklāja, ka.doc failā tika ielādēts viltots HTML koda fragments, kas pēc tam aicina Microsoft diagnostikas rīku izpildīt PowerShell kodu, kas savukārt palaiž ļaunprātīgo slodzi.
Windows izmanto Microsoft diagnostikas rīku (MSDT), lai apkopotu un nosūtītu diagnostikas informāciju, ja operētājsistēmā rodas problēmas. Lietojumprogrammas izsauc rīku, izmantojot īpašo MSDT URL protokolu (ms-msdt://), kuru Follina cenšas izmantot.
"Šis eksploats ir viens virs otra sakrautu varoņdarbu kalns. Taču diemžēl to ir viegli izveidot no jauna, un pretvīrusu to nevar noteikt," sociālajā tīklā Twitter rakstīja drošības advokāti.
E-pasta diskusijā ar Lifewire Nikolass Čemerikičs, Immersive Labs kiberdrošības inženieris, paskaidroja, ka Follina ir unikāla. Tas neietver parasto biroja makro ļaunprātīgas izmantošanas ceļu, tāpēc tas var pat radīt postījumus cilvēkiem, kuri ir atspējojuši makro.
"Daudzus gadus pikšķerēšana e-pastā kopā ar ļaunprātīgiem Word dokumentiem ir bijusi visefektīvākais veids, kā iegūt piekļuvi lietotāja sistēmai," norādīja Čemerikičs. "Šobrīd risku palielina Follina uzbrukums, jo cietušajam ir tikai jāatver dokuments vai dažos gadījumos jāskatās dokumenta priekšskatījums, izmantojot Windows priekšskatījuma rūti, vienlaikus novēršot nepieciešamību apstiprināt drošības brīdinājumus."
Microsoft ātri veica dažus atlīdzināšanas pasākumus, lai mazinātu Follina radītos riskus. "Pieejamie mazināšanas pasākumi ir netīri risinājumi, kuru ietekmi nozarei nav bijis laika izpētīt," uzņēmuma Huntress vecākais drošības pētnieks Džons Hemonds rakstīja uzņēmuma emuārā par šo kļūdu. "Tie ir saistīti ar iestatījumu maiņu Windows reģistrā, kas ir nopietna lieta, jo nepareizs reģistra ieraksts var sabojāt jūsu datoru."
Šai ievainojamībai joprojām vajadzētu būt to lietu saraksta augšgalā, par kurām jāuztraucas.
Lai gan Microsoft nav izlaidusi oficiālu ielāpu, lai novērstu problēmu, ir neoficiāls ielāps no 0patch projekta.
0 atšķirīga pieeja, jo abas šīs pieejas negatīvi ietekmētu diagnostikas rīka veiktspēju.
Tas ir tikko sācies
Kiberdrošības pārdevēji jau ir sākuši redzēt, ka trūkums tiek aktīvi izmantots pret dažiem augsta līmeņa mērķiem ASV un Eiropā.
Lai gan šķiet, ka visos pašreizējās savvaļas varoņdarbos tiek izmantoti Office dokumenti, Follina var tikt ļaunprātīgi izmantota, izmantojot citus uzbrukuma vektorus, paskaidroja Cemerikic.
Paskaidrojot, kāpēc viņš uzskatīja, ka Follina tuvākajā laikā nepazudīs, Cemerikic teica, ka, tāpat kā jebkura liela ļaunprātīga izmantošana vai ievainojamība, hakeri galu galā sāk izstrādāt un izlaist rīkus, lai palīdzētu ekspluatācijas centieniem. Tas būtībā pārvērš šos diezgan sarežģītos ekspluatācijas veidus uzbrukumos ar norādi un klikšķi.
"Uzbrucējiem vairs nav jāsaprot, kā darbojas uzbrukums, vai jāsavieno virkne ievainojamību, viņiem ir tikai jānoklikšķina uz rīka palaist," sacīja Cemerikic.
Viņš iebilda, ka tas ir tieši tas, ko kiberdrošības kopiena ir pieredzējusi pēdējās nedēļas laikā, jo ļoti nopietns noziegums tika nodots mazāk spējīgu vai neizglītotu uzbrucēju un skriptu mazuļu rokās.
"Laikam ejot, jo vairāk šie rīki kļūs pieejami, jo vairāk Follina tiks izmantota kā ļaunprātīgas programmatūras piegādes metode, lai apdraudētu mērķa iekārtas," brīdināja Čemerikičs, mudinot cilvēkus nekavējoties labot savas Windows iekārtas.