Kľúčové poznatky
- V divočine bol pozorovaný nový systém Windows zero-click útok, ktorý môže ohroziť počítače bez akejkoľvek akcie používateľa.
- Microsoft uznal problém a vydal kroky na nápravu, ale chyba zatiaľ nemá oficiálnu opravu.
- Bezpečnostní výskumníci vidia, že chyba sa aktívne využíva a v blízkej budúcnosti očakávajú ďalšie útoky.
Hackeri našli spôsob, ako sa dostať do počítača so systémom Windows jednoduchým odoslaním špeciálne vytvoreného škodlivého súboru.
Chyba s názvom Follina je dosť závažná, pretože by mohla hackerom umožniť prevziať úplnú kontrolu nad akýmkoľvek systémom Windows len odoslaním upraveného dokumentu balíka Microsoft Office. V niektorých prípadoch ľudia ani nemusia súbor otvárať, pretože na spustenie nepríjemných kúskov stačí náhľad súboru Windows. Microsoft uznal chybu, ale ešte nevydal oficiálnu opravu, ktorá by ju zrušila.
"Táto zraniteľnosť by mala byť stále na vrchole zoznamu vecí, ktorých sa treba obávať," napísal v týždenníku SANS Dr. Johannes Ullrich, dekan výskumu technologického inštitútu SANS. „Zatiaľ čo dodávatelia antimalvéru podpisy rýchlo aktualizujú, nie sú dostatočné na ochranu pred širokou škálou exploitov, ktoré môžu využiť túto zraniteľnosť.“
Preview to Compromise
Hrozbu prvýkrát zaznamenali japonskí bezpečnostní výskumníci koncom mája vďaka škodlivému dokumentu programu Word.
Bezpečnostný výskumník Kevin Beaumont odhalil túto zraniteľnosť a objavil, že súbor.doc načítal falošný kúsok HTML kódu, ktorý potom vyžaduje diagnostický nástroj spoločnosti Microsoft, aby spustil kód PowerShell, ktorý následne spustí škodlivý obsah.
Windows používa diagnostický nástroj Microsoft (MSDT) na zhromažďovanie a odosielanie diagnostických informácií, keď sa niečo pokazí v operačnom systéme. Aplikácie volajú nástroj pomocou špeciálneho protokolu MSDT URL (ms-msdt://), ktorý sa Follina snaží zneužiť.
"Tento exploit je hora exploitov naskladaných jeden na druhom. Je však nanešťastie ľahké ho znova vytvoriť a antivírus ho nedokáže odhaliť," napísali na Twitteri zástancovia bezpečnosti.
V e-mailovej diskusii s Lifewire Nikolas Cemerikic, inžinier kybernetickej bezpečnosti v Immersive Labs, vysvetlil, že Follina je jedinečná. Neprechádza obvyklou cestou zneužívania kancelárskych makier, a preto môže spôsobiť zmätok aj ľuďom, ktorí makrá zakázali.
„Po mnoho rokov bol e-mailový phishing v kombinácii so škodlivými dokumentmi Wordu najefektívnejším spôsobom, ako získať prístup do systému používateľa,“zdôraznil Cemerikic. "Riziko je teraz zvýšené útokom Follina, pretože obeti stačí otvoriť dokument alebo v niektorých prípadoch zobraziť ukážku dokumentu cez tablu náhľadu systému Windows, pričom nie je potrebné schvaľovať bezpečnostné upozornenia."
Microsoft rýchlo zaviedol niekoľko nápravných krokov na zmiernenie rizík, ktoré predstavuje Follina. „Zmiernenia, ktoré sú k dispozícii, sú chaotické riešenia, na ktoré priemysel nemal čas študovať vplyv,“napísal John Hammond, hlavný bezpečnostný výskumník spoločnosti Huntress, na firemnom blogu venovanom tejto chybe. "Zahŕňajú zmenu nastavení v registri Windows, čo je vážna vec, pretože nesprávna položka v registri by mohla poškodiť váš počítač."
Táto chyba zabezpečenia by mala byť stále na začiatku zoznamu vecí, ktorých sa treba obávať.
Hoci Microsoft nevydal oficiálnu opravu na vyriešenie problému, existuje neoficiálna oprava z projektu 0patch.
Po diskusii o oprave Mitja Kolsek, spoluzakladateľ projektu 0patch, napísal, že hoci by bolo jednoduché úplne zakázať diagnostický nástroj spoločnosti Microsoft alebo kodifikovať nápravné kroky spoločnosti Microsoft do opravy, projekt vyšiel odlišný prístup, pretože oba tieto prístupy by negatívne ovplyvnili výkonnosť diagnostického nástroja.
Len sa to začalo
Dodávatelia kybernetickej bezpečnosti už začali vidieť, ako sa tento nedostatok aktívne využíva proti niektorým významným cieľom v USA a Európe.
Hoci sa zdá, že všetky súčasné exploity vo voľnej prírode využívajú dokumenty balíka Office, Follina môže byť zneužitá prostredníctvom iných vektorov útokov, vysvetlil Cemerikic.
Pri vysvetľovaní, prečo si myslel, že Follina tak skoro nezmizne, Cemerikic povedal, že ako pri každom väčšom zneužití alebo zraniteľnosti, hackeri nakoniec začnú vyvíjať a uvoľňovať nástroje na podporu úsilia o vykorisťovanie. To v podstate mení tieto pomerne zložité exploity na útoky typu point-and-click.
„Útočníci už nepotrebujú chápať, ako útok funguje, alebo spájať sériu zraniteľností, všetko, čo musia urobiť, je kliknúť na „spustiť“na nástroji,“povedal Cemerikic.
Argumentoval tým, že práve toto bola komunita kybernetickej bezpečnosti svedkom za posledný týždeň, pričom do rúk menej schopných alebo nevzdelaných útočníkov a scenáristov sa dostal veľmi vážny exploit.
„Čím viac bude týchto nástrojov k dispozícii, tým viac sa Follina bude používať ako spôsob doručovania malvéru na kompromitovanie cieľových počítačov,“varoval Cemerikic a vyzval ľudí, aby bezodkladne opravili svoje počítače so systémom Windows.