Key takeaways
- Et nytt Windows zero-click-angrep som kan kompromittere maskiner uten noen brukerhandling har blitt observert i naturen.
- Microsoft har erkjent problemet og lagt ut utbedringstrinn, men feilen har ikke en offisiell oppdatering ennå.
- Sikkerhetsforskere ser at feilen blir aktivt utnyttet og forventer flere angrep i nær fremtid.
Hackere har funnet en måte å bryte seg inn på en Windows-datamaskin ved å sende en spesiallaget ondsinnet fil.
Dubbet Follina, feilen er ganske alvorlig ettersom den kan tillate hackere å ta fullstendig kontroll over ethvert Windows-system bare ved å sende et modifisert Microsoft Office-dokument. I noen tilfeller trenger folk ikke engang å åpne filen, siden forhåndsvisningen av Windows-filen er nok til å utløse de ekle bitene. Spesielt har Microsoft erkjent feilen, men har ennå ikke gitt ut en offisiell reparasjon for å oppheve den.
"Denne sårbarheten bør fortsatt være øverst på listen over ting å bekymre seg for," skrev Dr. Johannes Ullrich, forskningsdekan for SANS Technology Institute, i SANS ukentlige nyhetsbrev. "Selv om leverandører av anti-malware raskt oppdaterer signaturer, er de utilstrekkelige til å beskytte mot det store spekteret av utnyttelser som kan dra nytte av dette sikkerhetsproblemet."
Forhåndsvisning av kompromiss
Trusselen ble først oppdaget av japanske sikkerhetsforskere mot slutten av mai takket være et ondsinnet Word-dokument.
Sikkerhetsforsker Kevin Beaumont utfoldet sikkerhetsproblemet og oppdaget at.doc-filen lastet en falsk HTML-kode, som deretter kaller på Microsoft Diagnostics Tool for å kjøre en PowerShell-kode, som igjen kjører den skadelige nyttelasten.
Windows bruker Microsoft Diagnostic Tool (MSDT) til å samle inn og sende diagnoseinformasjon når noe går g alt med operativsystemet. Apper kaller verktøyet ved å bruke den spesielle MSDT URL-protokollen (ms-msdt://), som Follina har som mål å utnytte.
"Denne utnyttelsen er et fjell av bedrifter stablet oppå hverandre. Men den er dessverre enkel å gjenskape og kan ikke oppdages av antivirus," skrev sikkerhetsadvokater på Twitter.
I en e-postdiskusjon med Lifewire forklarte Nikolas Cemerikic, Cyber Security Engineer ved Immersive Labs, at Follina er unik. Det tar ikke den vanlige veien med å misbruke kontormakroer, og det er grunnen til at det til og med kan skape kaos for folk som har deaktivert makroer.
"I mange år har e-postphishing, kombinert med ondsinnede Word-dokumenter, vært den mest effektive måten å få tilgang til en brukers system," påpekte Cemerikic. "Risikoen nå økes av Follina-angrepet, ettersom offeret bare trenger å åpne et dokument, eller i noen tilfeller se en forhåndsvisning av dokumentet via forhåndsvisningsruten i Windows, samtidig som man fjerner behovet for å godkjenne sikkerhetsadvarsler."
Microsoft var raskt ute med å legge ut noen utbedringstrinn for å redusere risikoen Follina utgjør. "Begrensningene som er tilgjengelige er rotete løsninger som industrien ikke har hatt tid til å studere virkningen av," skrev John Hammond, senior sikkerhetsforsker ved Huntress, i selskapets dypdykkblogg om feilen. "De involverer endring av innstillinger i Windows-registeret, noe som er seriøst fordi en feil registeroppføring kan blokkere maskinen din."
Dette sikkerhetsproblemet bør fortsatt være øverst på listen over ting å bekymre seg for.
Selv om Microsoft ikke har gitt ut en offisiell oppdatering for å fikse problemet, er det en uoffisiell oppdatering fra 0patch-prosjektet.
Mittja Kolsek, medgründer av 0patch-prosjektet, snakket gjennom løsningen, og skrev at selv om det ville være enkelt å deaktivere Microsoft Diagnostic-verktøyet helt eller å kodifisere Microsofts utbedringstrinn til en oppdatering, gikk prosjektet for en annen tilnærming siden begge disse tilnærmingene vil påvirke ytelsen til diagnoseverktøyet negativt.
It's Just Begun
Sybersikkerhetsleverandører har allerede begynt å se feilen bli aktivt utnyttet mot noen høyprofilerte mål i USA og Europa.
Selv om alle nåværende utnyttelser i naturen ser ut til å bruke Office-dokumenter, kan Follina misbrukes gjennom andre angrepsvektorer, forklarte Cemerikic.
Cemerikic forklarte hvorfor han trodde at Follina ikke kommer til å forsvinne med det første, og sa at, som med enhver større utnyttelse eller sårbarhet, begynner hackere etter hvert å utvikle og slippe verktøy for å hjelpe til med utnyttelse. Dette gjør i hovedsak disse ganske komplekse utnyttelsene til pek-og-klikk-angrep.
"Angripere trenger ikke lenger å forstå hvordan angrepet fungerer eller lenke sammen en rekke sårbarheter, alt de trenger å gjøre er å klikke "kjør" på et verktøy," sa Cemerikic.
Han argumenterte for at dette er akkurat hva nettsikkerhetssamfunnet har vært vitne til den siste uken, med en svært alvorlig utnyttelse som ble lagt i hendene på mindre dyktige eller uutdannede angripere og manusbarn.
"Jo mer disse verktøyene blir tilgjengelige, jo mer vil Follina bli brukt som en metode for levering av skadelig programvare for å kompromittere målmaskiner," advarte Cemerikic og oppfordret folk til å lappe Windows-maskinene sine uten forsinkelse.
