- Μια νέα επίθεση μηδενικού κλικ στα Windows που μπορεί να θέσει σε κίνδυνο μηχανήματα χωρίς καμία ενέργεια χρήστη έχει παρατηρηθεί στη φύση.
- Η Microsoft έχει αναγνωρίσει το πρόβλημα και έχει προχωρήσει σε βήματα αποκατάστασης, αλλά το σφάλμα δεν έχει ακόμη επίσημη ενημέρωση κώδικα.
- Οι ερευνητές ασφαλείας βλέπουν ότι το σφάλμα εκμεταλλεύεται ενεργά και αναμένουν περισσότερες επιθέσεις στο εγγύς μέλλον.
Οι χάκερ βρήκαν έναν τρόπο να διαρρήξουν έναν υπολογιστή με Windows απλά στέλνοντας ένα ειδικά δημιουργημένο κακόβουλο αρχείο. Με την ονομασία Follina, το σφάλμα είναι αρκετά σοβαρό, καθώς θα μπορούσε να επιτρέψει στους χάκερ να αναλάβουν τον πλήρη έλεγχο οποιουδήποτε συστήματος Windows, απλώς στέλνοντας ένα τροποποιημένο έγγραφο του Microsoft Office. Σε ορισμένες περιπτώσεις, οι άνθρωποι δεν χρειάζεται καν να ανοίξουν το αρχείο, καθώς η προεπισκόπηση του αρχείου των Windows είναι αρκετή για να ενεργοποιήσει τα δυσάρεστα κομμάτια. Σημειωτέον, η Microsoft έχει αναγνωρίσει το σφάλμα, αλλά δεν έχει ακόμη κυκλοφορήσει επίσημη επιδιόρθωση για να το ακυρώσει. «Αυτή η ευπάθεια θα πρέπει να βρίσκεται ακόμα στην κορυφή της λίστας με τα πράγματα για τα οποία πρέπει να ανησυχείτε», έγραψε στο εβδομαδιαίο ενημερωτικό δελτίο SANS ο Δρ. Johannes Ullrich, Κοσμήτορας Έρευνας για το Τεχνολογικό Ινστιτούτο SANS. «Ενώ οι προμηθευτές anti-malware ενημερώνουν γρήγορα τις υπογραφές, είναι ανεπαρκείς για την προστασία από το ευρύ φάσμα εκμεταλλεύσεων που μπορεί να εκμεταλλευτούν αυτήν την ευπάθεια.»
Προεπισκόπηση για συμβιβασμό
Η απειλή ήταν εντοπίστηκε για πρώτη φορά από Ιάπωνες ερευνητές ασφαλείας προς τα τέλη Μαΐου χάρη σε ένα κακόβουλο έγγραφο του Word. Ο ερευνητής ασφαλείας Kevin Beaumont ξεδίπλωσε την ευπάθεια και ανακάλυψε ότι το αρχείο .doc φόρτωσε ένα ψεύτικο κομμάτι κώδικα HTML, το οποίο στη συνέχεια καλεί το Microsoft Diagnostics Tool να εκτελέσει έναν κώδικα PowerShell, ο οποίος με τη σειρά του εκτελεί το κακόβουλο ωφέλιμο φορτίο. Τα Windows χρησιμοποιούν το Microsoft Diagnostic Tool (MSDT) για τη συλλογή και αποστολή διαγνωστικών πληροφοριών όταν κάτι δεν πάει καλά με το λειτουργικό σύστημα. Οι εφαρμογές καλούν το εργαλείο χρησιμοποιώντας το ειδικό πρωτόκολλο URL MSDT (ms-msdt://), το οποίο η Follina στοχεύει να εκμεταλλευτεί. «Αυτό το exploit είναι ένα βουνό από exploits στοιβαγμένα το ένα πάνω στο άλλο. Ωστόσο, δυστυχώς, είναι εύκολο να δημιουργηθεί ξανά και δεν μπορεί να εντοπιστεί από antivirus.» έγραψαν οι συνήγοροι ασφαλείας στο Twitter. Σε μια συζήτηση μέσω email με το Lifewire, ο Nikolas Cemerikic, Μηχανικός Cyber Security στην Immersive Labs, εξήγησε ότι η Follina είναι μοναδική. Δεν ακολουθεί τη συνήθη διαδρομή της κατάχρησης μακροεντολών γραφείου, γι’ αυτό μπορεί ακόμη και να προκαλέσει τον όλεθρο σε άτομα που έχουν απενεργοποιήσει τις μακροεντολές. «Για πολλά χρόνια, το ηλεκτρονικό ψάρεμα, σε συνδυασμό με κακόβουλα έγγραφα του Word, ήταν ο πιο αποτελεσματικός τρόπος για να αποκτήσετε πρόσβαση στο σύστημα ενός χρήστη», επεσήμανε ο Cemerikic. «Ο κίνδυνος τώρα ενισχύεται από την επίθεση Follina, καθώς το θύμα χρειάζεται μόνο να ανοίξει ένα έγγραφο ή σε ορισμένες περιπτώσεις, να δει μια προεπισκόπηση του εγγράφου μέσω του παραθύρου προεπισκόπησης των Windows, ενώ καταργείται η ανάγκη έγκρισης προειδοποιήσεων ασφαλείας.» Η Microsoft έσπευσε να προβεί σε ορισμένα βήματα αποκατάστασης για να μετριάσει τους κινδύνους που θέτει η Follina. «Οι μετριασμοί που είναι διαθέσιμοι είναι ακατάστατοι τρόποι αντιμετώπισης των οποίων η βιομηχανία δεν είχε χρόνο να μελετήσει τον αντίκτυπο», έγραψε ο John Hammond, ανώτερος ερευνητής ασφάλειας στο Huntress, στο ιστολόγιο βαθιάς κατάδυσης της εταιρείας για το σφάλμα. «Περιλαμβάνουν την αλλαγή των ρυθμίσεων στο μητρώο των Windows, κάτι που είναι σοβαρό πρόβλημα επειδή μια εσφαλμένη καταχώριση μητρώου θα μπορούσε να καταστραφεί το μηχάνημά σας.» Αυτή η ευπάθεια θα πρέπει ακόμα να βρίσκεται στην κορυφή της λίστας με τα πράγματα που πρέπει να ανησυχείτε. Αν και η Microsoft δεν έχει κυκλοφορήσει επίσημη ενημέρωση κώδικα για να διορθώσει το πρόβλημα, υπάρχει μια ανεπίσημη ενημέρωση από το έργο 0patch. Μιλώντας για την επιδιόρθωση, ο Mitja Kolsek, συνιδρυτής του έργου 0patch, έγραψε ότι ενώ θα ήταν απλό να απενεργοποιήσετε εντελώς το εργαλείο Microsoft Diagnostic ή να κωδικοποιήσετε τα βήματα αποκατάστασης της Microsoft σε μια ενημέρωση κώδικα, το έργο ακολουθούσε μια διαφορετική προσέγγιση καθώς και τα δύο Αυτές οι προσεγγίσεις θα επηρεάσουν αρνητικά την απόδοση του Διαγνωστικού Εργαλείου.
Μόλις άρχισε
Οι πωλητές κυβερνοασφάλειας έχουν ήδη αρχίσει να βλέπουν το ελάττωμα εκμεταλλεύονται ενεργά εναντίον ορισμένων στόχων υψηλού προφίλ στις ΗΠΑ και την Ευρώπη. Αν και όλα τα τρέχοντα exploits στη φύση φαίνεται να χρησιμοποιούν έγγραφα του Office, το Follina μπορεί να γίνει κατάχρηση μέσω άλλων φορέων επίθεσης, εξήγησε ο Cemerikic. Εξηγώντας γιατί πίστευε ότι η Follina δεν πρόκειται να φύγει σύντομα, ο Cemerikic είπε ότι, όπως συμβαίνει με κάθε σημαντικό εκμετάλλευση ή ευπάθεια, οι χάκερ αρχίζουν τελικά να αναπτύσσουν και να απελευθερώνουν εργαλεία για να βοηθήσουν τις προσπάθειες εκμετάλλευσης. Αυτό ουσιαστικά μετατρέπει αυτά τα μάλλον πολύπλοκα exploits σε επιθέσεις point-and-click.
«Οι επιτιθέμενοι δεν χρειάζεται πλέον να καταλαβαίνουν πώς λειτουργεί η επίθεση ή να ενώνουν μια σειρά από τρωτά σημεία, το μόνο που χρειάζεται να κάνουν είναι να κάνουν κλικ στο «τρέξιμο» σε ένα εργαλείο», είπε ο Τζεμέρικιτς. Υποστήριξε ότι αυτό ακριβώς είδε η κοινότητα της κυβερνοασφάλειας την περασμένη εβδομάδα, με μια πολύ σοβαρή εκμετάλλευση να τίθεται στα χέρια λιγότερο ικανών ή αμόρφωτων επιτιθέμενων και σεναριογράφων. «Καθώς ο καιρός προχωρά, όσο περισσότερα αυτά τα εργαλεία γίνονται διαθέσιμα, τόσο περισσότερο το Follina θα χρησιμοποιείται ως μέθοδος παράδοσης κακόβουλου λογισμικού για την παραβίαση μηχανών-στόχων», προειδοποίησε ο Cemerikic, προτρέποντας τους ανθρώπους να επιδιορθώσουν τα μηχανήματα Windows χωρίς καθυστέρηση.