Ключевые выводы
- Новая атака с нулевым кликом в Windows, которая может скомпрометировать компьютеры без каких-либо действий пользователя, была обнаружена в дикой природе.
- Microsoft признала наличие проблемы и подготовила шаги по исправлению, но для этой ошибки еще нет официального патча.
- Исследователи безопасности видят, что ошибка активно эксплуатируется, и ожидают новых атак в ближайшем будущем.
Хакеры нашли способ проникнуть в компьютер Windows, просто отправив специально созданный вредоносный файл.
Ошибка, получившая название Follina, довольно серьезна, поскольку позволяет хакерам получить полный контроль над любой системой Windows, просто отправив измененный документ Microsoft Office. В некоторых случаях людям даже не нужно открывать файл, так как предварительного просмотра файла Windows достаточно, чтобы вызвать неприятные моменты. Примечательно, что Microsoft признала ошибку, но еще не выпустила официальное исправление для ее устранения.
«Эта уязвимость по-прежнему должна быть в верхней части списка вещей, о которых следует беспокоиться», - написал в еженедельном информационном бюллетене SANS д-р Йоханнес Ульрих, декан исследований Технологического института SANS. «Хотя поставщики антивирусных программ быстро обновляют сигнатуры, их недостаточно для защиты от широкого спектра эксплойтов, которые могут использовать эту уязвимость».
Предварительный просмотр для компрометации
Угроза была впервые обнаружена японскими исследователями безопасности в конце мая благодаря вредоносному документу Word.
Исследователь по безопасности Кевин Бомонт раскрыл уязвимость и обнаружил, что файл.doc загружает поддельный фрагмент HTML-кода, который затем вызывает средство диагностики Microsoft для выполнения кода PowerShell, который, в свою очередь, запускает вредоносную полезную нагрузку.
Windows использует Microsoft Diagnostic Tool (MSDT) для сбора и отправки диагностической информации, когда что-то идет не так с операционной системой. Приложения вызывают инструмент, используя специальный URL-протокол MSDT (ms-msdt://), который Follina стремится использовать.
«Этот эксплойт представляет собой гору эксплойтов, наложенных друг на друга. Однако, к сожалению, его легко воссоздать заново, и он не может быть обнаружен антивирусом», - написали защитники безопасности в Twitter.
В электронной переписке с Lifewire Николас Цемерикич, инженер по кибербезопасности в Immersive Labs, объяснил, что Follina уникальна. Он не идет по обычному пути неправильного использования офисных макросов, поэтому может нанести ущерб даже людям, отключившим макросы.
«В течение многих лет фишинг по электронной почте в сочетании с вредоносными документами Word был наиболее эффективным способом получить доступ к системе пользователя», - отметил Цемерикич. «Теперь риск повышается из-за атаки Follina, поскольку жертве нужно только открыть документ или, в некоторых случаях, просмотреть предварительный просмотр документа через панель предварительного просмотра Windows, при этом отпадает необходимость подтверждать предупреждения системы безопасности».
Microsoft быстро предприняла некоторые шаги по исправлению, чтобы снизить риски, связанные с Follina. «Существующие меры - это запутанные обходные пути, влияние которых у отрасли не было времени изучить», - написал Джон Хаммонд, старший исследователь безопасности Huntress, в блоге компании, подробно рассказывающем об ошибке. «Они связаны с изменением настроек в реестре Windows, что является серьезным делом, поскольку неправильная запись в реестре может привести к поломке вашей машины».
Эта уязвимость по-прежнему должна быть на первом месте в списке поводов для беспокойства.
Хотя Microsoft не выпустила официального патча для устранения проблемы, есть неофициальный патч от проекта 0patch.
Рассказывая об исправлении, Митя Колсек, соучредитель проекта 0patch, написал, что, хотя было бы просто полностью отключить инструмент диагностики Microsoft или преобразовать шаги по исправлению Microsoft в патч, проект пошел другой подход, так как оба эти подхода могут негативно сказаться на производительности средства диагностики.
Все только начинается
Продавцы систем кибербезопасности уже заметили, что уязвимость активно используется против некоторых высокопоставленных целей в США и Европе.
Хотя все текущие эксплойты, похоже, используют документы Office, Follina может быть использована с помощью других векторов атак, пояснил Цемерикич.
Объясняя, почему он считает, что Follina не собирается исчезать в ближайшее время, Цемерикич сказал, что, как и в случае любого крупного эксплойта или уязвимости, хакеры в конечном итоге начинают разрабатывать и выпускать инструменты для помощи в эксплуатации. По сути, это превращает эти довольно сложные эксплойты в атаки типа «укажи и щелкни».
«Злоумышленникам больше не нужно понимать, как работает атака, или объединять ряд уязвимостей, все, что им нужно сделать, это нажать кнопку «Выполнить» в инструменте», - сказал Цемерикич.
Он утверждал, что это именно то, что сообщество кибербезопасности стало свидетелем на прошлой неделе, когда очень серьезный эксплойт попал в руки менее способных или необразованных злоумышленников и детишек со сценариями.
«С течением времени, чем больше будет доступно этих инструментов, тем больше Follina будет использоваться в качестве метода доставки вредоносного ПО для компрометации целевых компьютеров», - предупредил Цемерикич, призывая людей без промедления устанавливать исправления на своих компьютерах с Windows.
