Ključni podaci za van
- U divljini je primijećen novi Windows zero-click napad koji može ugroziti strojeve bez ikakve radnje korisnika.
- Microsoft je potvrdio problem i objavio korake za ispravljanje, ali bug još nema službenu zakrpu.
- Istraživači sigurnosti vide da se bug aktivno iskorištava i očekuju nove napade u bliskoj budućnosti.
Hakeri su pronašli način da provale u Windows računalo jednostavnim slanjem posebno izrađene zlonamjerne datoteke.
Nazvan Follina, bug je prilično ozbiljan jer bi mogao omogućiti hakerima da preuzmu potpunu kontrolu nad bilo kojim Windows sustavom samo slanjem modificiranog Microsoft Office dokumenta. U nekim slučajevima ljudi čak i ne moraju otvoriti datoteku jer je pregled datoteke u sustavu Windows dovoljan da pokrene neugodne dijelove. Naime, Microsoft je priznao grešku, ali još nije objavio službeni popravak koji bi je poništio.
"Ova ranjivost i dalje bi trebala biti na vrhu popisa stvari o kojima treba brinuti", napisao je dr. Johannes Ullrich, dekan istraživanja SANS-ovog tehnološkog instituta, u SANS-ovom tjedniku. "Dok dobavljači anti-malware brzo ažuriraju potpise, oni su neadekvatni za zaštitu od širokog spektra eksploatacija koje mogu iskoristiti ovu ranjivost."
Pregled do kompromisa
Ovu su prijetnju prvi uočili japanski sigurnosni istraživači krajem svibnja zahvaljujući zlonamjernom Word dokumentu.
Istraživač sigurnosti Kevin Beaumont razotkrio je ranjivost i otkrio da je.doc datoteka učitala lažni dio HTML koda, koji zatim poziva Microsoftov alat za dijagnostiku da izvrši kod PowerShell, koji zauzvrat pokreće zlonamjerni korisni teret.
Windows koristi Microsoftov dijagnostički alat (MSDT) za prikupljanje i slanje dijagnostičkih informacija kada nešto pođe po zlu s operativnim sustavom. Aplikacije pozivaju alat pomoću posebnog MSDT URL protokola (ms-msdt://), koji Follina želi iskoristiti.
"Ovaj exploit brdo je exploita naslaganih jedan na drugi. Međutim, nažalost lako ga je ponovno stvoriti i ne može ga otkriti antivirus", napisali su zagovornici sigurnosti na Twitteru.
U raspravi e-poštom s Lifewireom, Nikolas Cemerikic, inženjer kibernetičke sigurnosti u Immersive Labsu, objasnio je da je Follina jedinstvena. Ne ide uobičajenom rutom zlouporabe uredskih makronaredbi, zbog čega čak može izazvati pustoš kod ljudi koji su onemogućili makronaredbe.
"Dugi niz godina phishing elektroničke pošte u kombinaciji sa zlonamjernim Word dokumentima bio je najučinkovitiji način pristupa sustavu korisnika", istaknuo je Čemerikić. "Rizik je sada povećan napadom Follina, budući da žrtva samo treba otvoriti dokument ili, u nekim slučajevima, pogledati pretpregled dokumenta putem okna za pregled Windowsa, istovremeno uklanjajući potrebu za odobravanjem sigurnosnih upozorenja."
Microsoft je brzo iznio neke korake za sanaciju kako bi ublažio rizike koje predstavlja Follina. "Ublažavanja koja su dostupna su neuredna rješenja za koja industrija nije imala vremena proučiti njihov utjecaj", napisao je John Hammond, viši sigurnosni istraživač u Huntressu, u tvrtkinom blogu o bugu. "Oni uključuju promjenu postavki u registru sustava Windows, što je ozbiljan posao jer bi netočan unos u registru mogao blokirati vaš stroj."
Ova ranjivost i dalje bi trebala biti na vrhu popisa stvari o kojima treba brinuti.
Iako Microsoft nije izdao službenu zakrpu koja bi riješila problem, postoji neslužbena zakrpa iz projekta 0patch.
Govoreći o popravku, Mitja Kolsek, suosnivač projekta 0patch, napisao je da iako bi bilo jednostavno potpuno onemogućiti Microsoftov dijagnostički alat ili kodificirati Microsoftove korake popravka u zakrpu, projekt je išao za drugačiji pristup jer bi oba ova pristupa negativno utjecala na performanse dijagnostičkog alata.
Tek je počelo
Dobavljači kibernetičke sigurnosti već su počeli vidjeti da se greška aktivno iskorištava protiv nekih meta visokog profila u SAD-u i Europi.
Iako se čini da svi trenutni eksploatacije u divljini koriste dokumente Officea, Follina se može zloupotrijebiti putem drugih vektora napada, objasnio je Čemerikić.
Objašnjavajući zašto je vjerovao da Follina neće nestati u skorije vrijeme, Čemerikić je rekao da, kao i kod svakog većeg iskorištavanja ili ranjivosti, hakeri na kraju počnu razvijati i puštati alate za pomoć u naporima iskorištavanja. Ovo u biti pretvara ove prilično složene eksploatacije u napade pokaži i klikni.
"Napadači više ne moraju razumjeti kako napad funkcionira ili povezivati niz ranjivosti, sve što trebaju učiniti je kliknuti 'pokreni' na alatu, " rekao je Čemerikić.
Tvrdio je da je upravo to ono čemu je zajednica kibernetičke sigurnosti svjedočila tijekom prošlog tjedna, s vrlo ozbiljnim napadom stavljenim u ruke manje sposobnih ili neobrazovanih napadača i klinaca skripti.
"Kako vrijeme bude odmicalo, što više ovih alata postaje dostupno, Follina će se više koristiti kao metoda isporuke zlonamjernog softvera za kompromitiranje ciljanih strojeva, " upozorio je Čemerikić, pozivajući ljude da bez odlaganja zakrpe svoje Windows strojeve.
