Key takeaways
- Et nyt Windows nul-klik-angreb, der kan kompromittere maskiner uden nogen brugerhandling, er blevet observeret i naturen.
- Microsoft har erkendt problemet og udsendt afhjælpningstrin, men fejlen har endnu ikke en officiel patch.
- Sikkerhedsforskere ser fejlen blive aktivt udnyttet og forventer flere angreb i den nærmeste fremtid.
Hackere har fundet en måde at bryde ind på en Windows-computer ved blot at sende en specielt udformet ondsindet fil.
Dubbet Follina, fejlen er ret alvorlig, da den kunne give hackere mulighed for at tage fuldstændig kontrol over ethvert Windows-system blot ved at sende et ændret Microsoft Office-dokument. I nogle tilfælde behøver folk ikke engang at åbne filen, da forhåndsvisningen af Windows-filen er nok til at udløse de grimme bits. Især har Microsoft erkendt fejlen, men har endnu ikke udgivet en officiel rettelse til at annullere den.
"Denne sårbarhed burde stadig være øverst på listen over ting, man skal bekymre sig om," skrev Dr. Johannes Ullrich, forskningsdekan for SANS Technology Institute, i SANS ugentlige nyhedsbrev. "Mens leverandører af anti-malware hurtigt opdaterer signaturer, er de utilstrækkelige til at beskytte mod den brede vifte af udnyttelser, der kan drage fordel af denne sårbarhed."
Forhåndsvisning til kompromis
Truslen blev først opdaget af japanske sikkerhedsforskere i slutningen af maj takket være et ondsindet Word-dokument.
Sikkerhedsforsker Kevin Beaumont foldede sårbarheden ud og opdagede, at.doc-filen indlæste et falsk stykke HTML-kode, som derefter kalder på Microsoft Diagnostics Tool til at udføre en PowerShell-kode, som igen kører den ondsindede nyttelast.
Windows bruger Microsoft Diagnostic Tool (MSDT) til at indsamle og sende diagnosticeringsoplysninger, når noget går g alt med operativsystemet. Apps kalder værktøjet ved hjælp af den særlige MSDT URL-protokol (ms-msdt://), som Follina har til formål at udnytte.
"Denne udnyttelse er et bjerg af udnyttelser stablet oven på hinanden. Men den er desværre let at genskabe og kan ikke registreres af anti-virus," skrev sikkerhedsfortalere på Twitter.
I en e-mail-diskussion med Lifewire forklarede Nikolas Cemerikic, Cyber Security Engineer hos Immersive Labs, at Follina er unik. Det tager ikke den sædvanlige vej med at misbruge kontormakroer, hvilket er grunden til, at det endda kan skabe kaos for folk, der har deaktiveret makroer.
"I mange år har e-mail-phishing, kombineret med ondsindede Word-dokumenter, været den mest effektive måde at få adgang til en brugers system på," påpegede Cemerikic. "Risikoen er nu øget af Follina-angrebet, da offeret kun behøver at åbne et dokument eller i nogle tilfælde se en forhåndsvisning af dokumentet via Windows preview-ruden, samtidig med at behovet for at godkende sikkerhedsadvarsler fjernes."
Microsoft var hurtig til at udsende nogle afhjælpningstrin for at mindske de risici, Follina udgør. "De begrænsninger, der er tilgængelige, er rodede løsninger, som industrien ikke har haft tid til at studere virkningen af," skrev John Hammond, en senior sikkerhedsforsker hos Huntress, i virksomhedens dybdyk-blog om fejlen. "De involverer ændring af indstillinger i Windows-registreringsdatabasen, hvilket er en seriøs sag, fordi en forkert registrering i registreringsdatabasen kan blokere din maskine."
Denne sårbarhed burde stadig være øverst på listen over ting, du skal bekymre dig om.
Mens Microsoft ikke har udgivet en officiel patch til at løse problemet, er der en uofficiel fra 0patch-projektet.
Mitja Kolsek, medstifter af 0patch-projektet, skrev, at selvom det ville være nemt at deaktivere Microsoft Diagnostic-værktøjet helt eller at kodificere Microsofts afhjælpningstrin til en patch, gik projektet til en anden tilgang, da begge disse tilgange ville have en negativ indvirkning på diagnoseværktøjets ydeevne.
It's Just Begun
Cybersikkerhedsleverandører er allerede begyndt at se fejlen blive aktivt udnyttet mod nogle højprofilerede mål i USA og Europa.
Selvom alle nuværende udnyttelser i naturen ser ud til at bruge Office-dokumenter, kan Follina blive misbrugt gennem andre angrebsvektorer, forklarede Cemerikic.
Cemerikic forklarede, hvorfor han troede, at Follina ikke ville forsvinde med det første, og sagde, at som med enhver større udnyttelse eller sårbarhed, begynder hackere til sidst at udvikle og frigive værktøjer til at hjælpe med udnyttelsesindsatsen. Dette forvandler i bund og grund disse ret komplekse udnyttelser til peg-og-klik-angreb.
"Angribere behøver ikke længere at forstå, hvordan angrebet fungerer, eller at kæde en række sårbarheder sammen, alt de skal gøre er at klikke på 'kør' på et værktøj," sagde Cemerikic.
Han hævdede, at det er præcis, hvad cybersikkerhedssamfundet har været vidne til i løbet af den seneste uge, hvor en meget alvorlig udnyttelse er blevet lagt i hænderne på mindre dygtige eller uuddannede angribere og scriptbørn.
"Som tiden skrider frem, jo mere disse værktøjer bliver tilgængelige, jo mere vil Follina blive brugt som en metode til levering af malware til at kompromittere målmaskiner," advarede Cemerikic og opfordrede folk til at lappe deres Windows-maskiner uden forsinkelse.
