Sleutel wegneemetes
- 'n Nuwe Windows-nul-klik-aanval wat masjiene kan kompromitteer sonder enige gebruikeraksie, is in die natuur waargeneem.
- Microsoft het die probleem erken en herstelstappe uitgebring, maar die fout het nog nie 'n amptelike regstelling nie.
- Sekuriteitsnavorsers sien die fout word aktief uitgebuit en verwag meer aanvalle in die nabye toekoms.
Hackers het 'n manier gevind om by 'n Windows-rekenaar in te breek bloot deur 'n spesiaal vervaardigde kwaadwillige lêer te stuur.
Gedoop Follina, die fout is nogal ernstig, aangesien dit kuberkrakers in staat kan stel om volledige beheer oor enige Windows-stelsel te neem net deur 'n gewysigde Microsoft Office-dokument te stuur. In sommige gevalle hoef mense nie eers die lêer oop te maak nie, aangesien die Windows-lêervoorskou genoeg is om die nare stukkies te aktiveer. Veral, Microsoft het die fout erken, maar het nog nie 'n amptelike oplossing vrygestel om dit nietig te maak nie.
"Hierdie kwesbaarheid moet steeds boaan die lys van dinge wees om oor bekommerd te wees," het dr. Johannes Ullrich, Dekaan van Navorsing vir SANS Tegnologie-instituut, in die SANS weeklikse nuusbrief geskryf. "Terwyl verskaffers van teen-wanware handtekeninge vinnig opdateer, is hulle onvoldoende om te beskerm teen die wye reeks misbruik wat voordeel kan trek uit hierdie kwesbaarheid."
Voorskou tot kompromie
Die bedreiging is die eerste keer teen die einde van Mei deur Japannese sekuriteitsnavorsers opgemerk met vergunning van 'n kwaadwillige Word-dokument.
Sekuriteitsnavorser Kevin Beaumont het die kwesbaarheid ontvou en ontdek dat die.doc-lêer 'n valse stuk HTML-kode gelaai het, wat dan 'n beroep doen op die Microsoft Diagnostics Tool om 'n PowerShell-kode uit te voer, wat op sy beurt die kwaadwillige loonvrag laat loop.
Windows gebruik die Microsoft Diagnostic Tool (MSDT) om diagnostiese inligting in te samel en te stuur wanneer iets verkeerd loop met die bedryfstelsel. Toepassings roep die nutsding deur die spesiale MSDT URL-protokol (ms-msdt://) te gebruik, wat Follina poog om te ontgin.
"Hierdie ontginning is 'n berg van uitbuitings wat bo-op mekaar gestapel is. Dit is egter ongelukkig maklik om te herskep en kan nie deur anti-virus opgespoor word nie," het sekuriteitsadvokate op Twitter geskryf.
In 'n e-posbespreking met Lifewire het Nikolas Cemerikic, kubersekuriteitsingenieur by Immersive Labs, verduidelik dat Follina uniek is. Dit volg nie die gewone roete om kantoormakro's te misbruik nie, en daarom kan dit selfs verwoesting saai vir mense wat makro's gedeaktiveer het.
"Vir baie jare was e-pos uitvissing, gekombineer met kwaadwillige Word-dokumente, die doeltreffendste manier om toegang tot 'n gebruiker se stelsel te kry," het Cemerikic uitgewys. "Die risiko word nou verhoog deur die Follina-aanval, aangesien die slagoffer slegs 'n dokument hoef oop te maak, of in sommige gevalle 'n voorskou van die dokument via die Windows-voorskouvenster moet bekyk, terwyl die behoefte om sekuriteitwaarskuwings goed te keur verwyder word."
Microsoft was vinnig om 'n paar regstellingstappe uit te voer om die risiko's wat Follina inhou, te versag. "Die versagtings wat beskikbaar is, is morsige oplossings waarvan die bedryf nie tyd gehad het om die impak daarvan te bestudeer nie," het John Hammond, 'n senior sekuriteitsnavorser by Huntress, in die maatskappy se diepduik-blog oor die fout geskryf. "Dit behels die verandering van instellings in die Windows-register, wat 'n ernstige saak is omdat 'n verkeerde registerinskrywing jou masjien kan baklei."
Hierdie kwesbaarheid behoort steeds bo-aan die lys te wees van dinge om oor bekommerd te wees.
Alhoewel Microsoft nie 'n amptelike regstelling vrygestel het om die probleem op te los nie, is daar 'n nie-amptelike een van die 0patch-projek.
Met die oplossing het Mitja Kolsek, medestigter van die 0patch-projek, geskryf dat hoewel dit maklik sou wees om die Microsoft Diagnostic-nutsding heeltemal te deaktiveer of om Microsoft se herstelstappe in 'n pleister te kodifiseer, het die projek vir 'n ander benadering aangesien beide hierdie benaderings die prestasie van die diagnostiese instrument negatief sal beïnvloed.
It's Just Begun
Kuberveiligheidsverkopers het reeds begin sien dat die fout aktief uitgebuit word teen sommige hoëprofielteikens in die VSA en Europa.
Hoewel dit lyk of alle huidige uitbuitings in die natuur Office-dokumente gebruik, kan Follina deur ander aanvalsvektore misbruik word, het Cemerikic verduidelik.
Om te verduidelik hoekom hy glo dat Follina nie binnekort gaan verdwyn nie, het Cemerikic gesê dat, soos met enige groot uitbuiting of kwesbaarheid, kuberkrakers uiteindelik nutsmiddels begin ontwikkel en vrystel om uitbuitingspogings te help. Dit verander in wese hierdie taamlik komplekse uitbuitings in wys-en-klik-aanvalle.
"Aanvallers hoef nie meer te verstaan hoe die aanval werk of 'n reeks kwesbaarhede saam te ketting nie, al wat hulle hoef te doen is om 'hardloop' op 'n instrument te klik," het Cemerikic gesê.
Hy het aangevoer dat dit presies is wat die kuberveiligheidsgemeenskap die afgelope week aanskou het, met 'n baie ernstige uitbuiting wat in die hande van minder bekwame of onopgevoede aanvallers en draaiboekkinders geplaas is.
"Soos die tyd vorder, hoe meer hierdie gereedskap beskikbaar word, hoe meer Follina sal gebruik word as 'n metode van wanware-aflewering om teikenmasjiene in die gedrang te bring," het Cemerikic gewaarsku en mense aangemoedig om hul Windows-masjiene sonder versuim te herstel.
