Keeawayt
- Uusi Windowsin nollanapsautushyökkäys, joka voi vaarantaa koneet ilman käyttäjän toimia, on havaittu luonnossa.
- Microsoft on tunnustanut ongelman ja julkaissut korjausvaiheet, mutta virheellä ei ole vielä virallista korjaustiedostoa.
- Turvallisuustutkijat näkevät, että vikaa hyödynnetään aktiivisesti, ja he odottavat lisää hyökkäyksiä lähitulevaisuudessa.
Hakkerit ovat löytäneet tavan murtautua Windows-tietokoneeseen yksinkertaisesti lähettämällä erityisesti muodostetun haitallisen tiedoston.
Follinaksi kutsuttu virhe on melko vakava, koska se voi antaa hakkereille mahdollisuuden ottaa kaikki Windows-järjestelmät täysin hallintaansa lähettämällä muokatun Microsoft Office -asiakirjan. Joissakin tapauksissa ihmisten ei tarvitse edes avata tiedostoa, koska Windowsin tiedoston esikatselu riittää käynnistämään ikävät bitit. Erityisesti Microsoft on tunnustanut virheen, mutta ei ole vielä julkaissut virallista korjausta sen mitätöimiseksi.
"Tämän haavoittuvuuden pitäisi edelleen olla huolissaan olevien asioiden listan kärjessä", tohtori Johannes Ullrich, SANS-teknologiainstituutin tutkimuksen dekaani, kirjoitti SANSin viikoittaisessa uutiskirjeessä. "Vaikka haittaohjelmien torjuntatoimittajat päivittävät allekirjoituksiaan nopeasti, ne eivät ole riittäviä suojaamaan monia haavoittuvuutta mahdollisesti hyödyntäviltä hyökkäyksiltä."
Esikatselu kompromissiin
Japanilaiset turvallisuustutkijat huomasivat uhan ensimmäisen kerran toukokuun lopulla haitallisen Word-asiakirjan ansiosta.
Tietoturvatutkija Kevin Beaumont paljasti haavoittuvuuden ja huomasi, että.doc-tiedosto latasi harhaanjohtavan HTML-koodinpalan, joka sitten kutsuu Microsoft Diagnostics Toolin suorittamaan PowerShell-koodin, joka puolestaan suorittaa haitallisen hyötykuorman.
Windows käyttää Microsoft Diagnostic Toolia (MSDT) diagnostiikkatietojen keräämiseen ja lähettämiseen, kun käyttöjärjestelmässä tapahtuu jotain vikaa. Sovellukset kutsuvat työkalua käyttämällä erityistä MSDT URL-protokollaa (ms-msdt://), jota Follina pyrkii hyödyntämään.
"Tämä hyväksikäyttö on vuori hyökkäyksiä pinottuina päällekkäin. Se on kuitenkin valitettavasti helppo luoda uudelleen, eikä virustorjunta pysty havaitsemaan sitä", kirjoitti tietoturvan puolestapuhujat Twitterissä.
Lifewiren kanssa käydyssä sähköpostikeskustelussa Immersive Labsin kyberturvallisuusinsinööri Nikolas Cemerikic selitti, että Follina on ainutlaatuinen. Se ei käytä tavanomaista toimistomakrojen väärinkäyttöä, minkä vuoksi se voi jopa aiheuttaa tuhoa ihmisille, jotka ovat poistaneet makrot käytöstä.
"Sähköpostin tietojenkalastelu yhdistettynä haitallisiin Word-asiakirjoihin on useiden vuosien ajan ollut tehokkain tapa päästä käsiksi käyttäjän järjestelmään", Cemerikic huomautti. "Riskiä lisää nyt Follina-hyökkäys, koska uhrin tarvitsee vain avata asiakirja tai joissakin tapauksissa tarkastella asiakirjan esikatselua Windowsin esikatseluruudun kautta, mutta turvavaroituksia ei tarvitse hyväksyä."
Microsoft ryhtyi nopeasti toteuttamaan korjaustoimenpiteitä Follinan aiheuttamien riskien vähentämiseksi. "Saatavilla olevat lievennykset ovat sotkuisia kiertotapoja, joiden vaikutuksia teollisuus ei ole ehtinyt tutkia", kirjoitti Huntressin vanhempi tietoturvatutkija John Hammond yrityksen syvään sukellusblogiin ongelmasta. "Niihin liittyy Windowsin rekisterin asetusten muuttaminen, mikä on vakava asia, koska virheellinen rekisterimerkintä voi vaurioittaa koneesi."
Tämän haavoittuvuuden pitäisi edelleen olla huolenaiheiden luettelon kärjessä.
Vaikka Microsoft ei ole julkaissut virallista korjaustiedostoa ongelman korjaamiseksi, 0-patch-projektista löytyy epävirallinen korjaustiedosto.
Korjauksen läpi puhuessaan 0patch-projektin perustaja Mitja Kolsek kirjoitti, että vaikka Microsoft Diagnostic -työkalun poistaminen kokonaan käytöstä tai Microsoftin korjausvaiheiden kodifiointi korjaustiedostoksi olisi helppoa, projekti meni erilainen lähestymistapa, koska molemmat lähestymistavat vaikuttaisivat negatiivisesti diagnostiikkatyökalun suorituskykyyn.
Se on vasta alkanut
Kyberturvallisuustoimittajat ovat jo alkaneet nähdä, että puutetta käytetään aktiivisesti hyväksi joitakin korkean profiilin kohteita vastaan Yhdysvalloissa ja Euroopassa.
Vaikka kaikki nykyiset hyväksikäytöt luonnossa näyttävät käyttävän Office-dokumentteja, Follinaa voidaan käyttää väärin muiden hyökkäysvektorien kautta, Cemerikic selitti.
Selittäessään, miksi hän uskoi, ettei Follina katoa pian, Cemerikic sanoi, että kuten minkä tahansa suuren hyväksikäytön tai haavoittuvuuden kohdalla, hakkerit alkavat lopulta kehittää ja julkaista työkaluja, jotka auttavat hyväksikäyttöä. Tämä muuttaa nämä melko monimutkaiset hyväksikäytöt osoita ja napsauta -hyökkäyksiksi.
"Hyökkääjien ei enää tarvitse ymmärtää, miten hyökkäys toimii, tai ketjuttaa yhteen useita haavoittuvuuksia, heidän tarvitsee vain napsauttaa 'run' työkalua", sanoi Cemerikic.
Hän väitti, että tämä on juuri sitä, mitä kyberturvallisuusyhteisö on nähnyt kuluneen viikon aikana, ja erittäin vakava hyväksikäyttö joutui vähemmän pätevien tai kouluttamattomien hyökkääjien ja käsikirjoittajien käsiin.
"Ajan edetessä, mitä enemmän näitä työkaluja tulee saataville, sitä enemmän Follinaa käytetään haittaohjelmien jakelumenetelmänä kohdelaitteiden vaarantamiseksi", varoitti Cemerikic ja kehotti ihmisiä korjaamaan Windows-koneensa viipymättä.
