Võtmed kaasavõtmiseks
- Looduslikus looduses on täheldatud uudset Windowsi nullklõpsu rünnakut, mis võib masinaid ilma kasutaja tegevuseta ohustada.
- Microsoft on probleemi tunnistanud ja esitanud parandusmeetmed, kuid veale pole veel ametlikku paika.
- Turvauurijad näevad, et viga kasutatakse aktiivselt ära ja ootavad lähitulevikus rohkem rünnakuid.
Häkkerid on leidnud mooduse Windowsiga arvutisse tungimiseks lihts alt spetsiaalselt loodud pahatahtliku faili saatmisega.
Follina nimega viga on üsna tõsine, kuna see võib lubada häkkeritel saada täieliku kontrolli mis tahes Windowsi süsteemi üle lihts alt muudetud Microsoft Office'i dokumendi saatmisega. Mõnel juhul ei pea inimesed isegi faili avama, sest Windowsi faili eelvaatest piisab ebameeldivate osade käivitamiseks. Microsoft on vea tunnistanud, kuid pole veel ametlikku parandust selle tühistamiseks välja andnud.
"See haavatavus peaks endiselt olema muret tekitavate asjade loendi tipus," kirjutas SANS-i tehnoloogiainstituudi uurimisdekaan dr Johannes Ullrich SANS-i iganädalases uudiskirjas. "Kuigi pahavaratõrje müüjad värskendavad kiiresti allkirju, ei ole need piisavad kaitseks paljude ärakasutamiste eest, mis võivad seda haavatavust ära kasutada."
Eelvaade kompromissile
Jaapani julgeolekuteadlased märkasid seda ohtu esmakordselt mai lõpus, tänu pahatahtlikule Wordi dokumendile.
Turvauurija Kevin Beaumont avas haavatavuse ja avastas, et.doc-fail laadis võltsitud HTML-koodi, mis seejärel kutsub Microsofti diagnostikatööriista käivitama PowerShelli koodi, mis omakorda käivitab pahatahtliku kasuliku koormuse.
Windows kasutab Microsofti diagnostikatööriista (MSDT) diagnostikateabe kogumiseks ja saatmiseks, kui operatsioonisüsteemiga läheb valesti. Rakendused kutsuvad tööriista välja spetsiaalse MSDT URL-i protokolli (ms-msdt://) abil, mida Follina püüab ära kasutada.
"See ärakasutamine on üksteise otsa virnastatud rünnakute mägi. Kahjuks on seda aga lihtne uuesti luua ja viirusetõrje ei suuda seda tuvastada," kirjutasid turvakaitsjad Twitteris.
Meilivestluses Lifewire'iga selgitas Immersive Labsi küberturbeinsener Nikolas Cemerikic, et Follina on ainulaadne. See ei kasuta tavalist kontorimakrode väärkasutamist, mistõttu võib see isegi hävitada inimesi, kes on makrod keelanud.
"Palju aastaid on e-kirjade andmepüük koos pahatahtlike Wordi dokumentidega olnud kõige tõhusam viis kasutaja süsteemile juurdepääsu saamiseks," märkis Cemerikic. "Riski suurendab nüüd Follina rünnak, kuna ohver peab avama ainult dokumendi või mõnel juhul vaatama dokumendi eelvaadet Windowsi eelvaatepaani kaudu, kõrvaldades samal ajal vajaduse turvahoiatuste kinnitamiseks."
Microsoft tegi kiiresti mõned parandusmeetmed, et leevendada Follinast tulenevaid riske. "Saadaolevad leevendusmeetmed on räpane lahendus, mille mõju pole tööstusel olnud aega uurida," kirjutas Huntressi vanemturbeteadur John Hammond ettevõtte veateemalises ajaveebis. "Need hõlmavad Windowsi registri sätete muutmist, mis on tõsine äri, sest vale registrikirje võib teie masina rikkuda."
See haavatavus peaks siiski olema muret tekitavate asjade loendi tipus.
Kuigi Microsoft ei ole probleemi lahendamiseks ametlikku plaastrit välja andnud, on 0-paiga projektist üks mitteametlik.
Parandusest rääkides kirjutas projekti 0patch kaasasutaja Mitja Kolsek, et kuigi Microsofti diagnostikatööriista oleks lihtne täielikult keelata või Microsofti parandustoimingud paigaks kodeerida, läks projekt teistsugune lähenemine, kuna mõlemad lähenemisviisid mõjutaksid diagnostikatööriista toimivust negatiivselt.
See on alles alanud
Küberturvalisuse müüjad on juba hakanud nägema, et viga on USA-s ja Euroopas mõnede kõrgetasemeliste sihtmärkide vastu aktiivselt ära kasutatud.
Kuigi näib, et kõik praegused looduses kasutatavad rünnakud kasutavad Office'i dokumente, võib Follinat kuritarvitada teiste rünnakuvektorite kaudu, selgitas Cemerikic.
Selgitades, miks ta uskus, et Follina ei kao niipea, ütles Cemerikic, et nagu iga suurema ärakasutamise või haavatavuse puhul, hakkavad häkkerid lõpuks välja töötama ja välja andma tööriistu, mis aitavad ärakasutamist. See muudab need üsna keerulised ärakasutamised sisuliselt point-and-click rünnakuteks.
"Ründajad ei pea enam mõistma, kuidas rünnak toimib, ega aheldama kokku turvaauke, neil pole vaja teha muud, kui klõpsata tööriistal "käivita", "ütles Cemerikic.
Ta väitis, et just seda on küberjulgeoleku kogukond viimase nädala jooksul tunnistajaks olnud, kusjuures väga tõsine ärakasutamine on pandud vähem võimekate või harimatud ründajate ja stsenaariumipoegade kätte.
"Mida aeg edasi, seda rohkem need tööriistad kättesaadavaks muutuvad, seda rohkem kasutatakse Follinat pahavara edastamise meetodina, et ohustada sihtarvuteid," hoiatas Cemerikic, kutsudes inimesi üles oma Windowsi masinaid viivitamatult parandama.
