מזונות חשובים
- מתקפה חדשה של Windows עם אפס קליקים שיכולה לסכן מכונות ללא כל פעולה של משתמש נצפתה בטבע.
- Microsoft הכירה בבעיה והוציאה שלבי תיקון, אבל לבאג אין עדיין תיקון רשמי.
- חוקרי אבטחה רואים את הבאג מנוצל באופן פעיל ומצפים להתקפות נוספות בעתיד הקרוב.
האקרים מצאו דרך לפרוץ למחשב Windows פשוט על ידי שליחת קובץ זדוני בעל מבנה מיוחד.
המדובב Follina, הבאג הוא די רציני מכיוון שהוא יכול לאפשר להאקרים להשתלט על כל מערכת Windows רק על ידי שליחת מסמך Microsoft Office שונה. במקרים מסוימים, אנשים אפילו לא צריכים לפתוח את הקובץ, מכיוון שהתצוגה המקדימה של קובץ Windows מספיקה כדי להפעיל את הקטעים המגעילים. יש לציין כי מיקרוסופט הכירה בבאג אך עדיין לא פרסמה תיקון רשמי לביטולו.
"פגיעות זו עדיין צריכה להיות בראש רשימת הדברים שצריך לדאוג מהם", כתב ד"ר יוהנס אולריך, דיקן המחקר של המכון הטכנולוגי של SANS, בעלון השבועי של SANS. "בעוד שספקי אנטי-תוכנות זדוניות מעדכנים במהירות חתימות, הם לא מספיקים כדי להגן מפני המגוון הרחב של ניצולים שעשויים לנצל את הפגיעות הזו."
תצוגה מקדימה לפשרה
האיום זוהה לראשונה על ידי חוקרי אבטחה יפנים לקראת סוף מאי באדיבות מסמך Word זדוני.
חוקר האבטחה קווין ביומונט גילה את הפגיעות וגילה שקובץ ה-doc נטען בחתיכת קוד מזויף של קוד HTML, אשר קורא לכלי האבחון של מיקרוסופט להפעיל קוד PowerShell, אשר בתורו מריץ את המטען הזדוני.
Windows משתמש בכלי האבחון של Microsoft (MSDT) כדי לאסוף ולשלוח מידע אבחון כאשר משהו משתבש במערכת ההפעלה. אפליקציות מתקשרות לכלי באמצעות פרוטוקול ה-URL המיוחד של MSDT (ms-msdt://), אותו שואפת Follina לנצל.
"הניצול הזה הוא הר של מעללים מוערמים אחד על השני. עם זאת, למרבה הצער קל ליצור אותו מחדש ולא ניתן לזהות אותו באמצעות אנטי-וירוס", כתבו תומכי אבטחה בטוויטר.
בדיון בדוא ל עם Lifewire, ניקולס צ'מריקיץ', מהנדס אבטחת סייבר ב-Immersive Labs, הסביר ש-Follina היא ייחודית. זה לא נוקט בדרך הרגילה של שימוש לרעה בפקודות מאקרו משרדיות, וזו הסיבה שהוא יכול אפילו לזרוע הרס עבור אנשים שהשביתו פקודות מאקרו.
"במשך שנים רבות, דיוג בדוא"ל, בשילוב עם מסמכי Word זדוניים, היה הדרך היעילה ביותר לקבל גישה למערכת של משתמש", ציין Cemerikic. "הסיכון כעת מוגבר על ידי התקפת Follina, שכן הקורבן צריך רק לפתוח מסמך, או במקרים מסוימים, להציג תצוגה מקדימה של המסמך דרך חלונית התצוגה המקדימה של Windows, תוך הסרת הצורך לאשר אזהרות אבטחה."
מיקרוסופט מיהרה לפרסם כמה צעדי תיקון כדי להפחית את הסיכונים הנשקפים מ-Follina. "ההקלות הזמינות הן דרכים לעקיפת הבעיה שהתעשייה לא הספיקה ללמוד את ההשפעה שלהן", כתב ג'ון האמונד, חוקר אבטחה בכיר ב-Hunttress, בבלוג הצלילה העמוקה של החברה על הבאג. "הם כרוכים בשינוי הגדרות ברישום של Windows, שזה עניין רציני כי ערך רישום שגוי עלול לקלקל את המחשב שלך."
פגיעות זו עדיין צריכה להיות בראש רשימת הדברים שיש לדאוג מהם.
למרות שמיקרוסופט לא פרסמה תיקון רשמי לתיקון הבעיה, ישנו תיקון לא רשמי מפרויקט 0patch.
דיברתי על התיקון, מיטה קולסק, מייסדת שותפה של פרויקט 0patch, כתבה שאמנם זה יהיה פשוט להשבית את כלי האבחון של מיקרוסופט לחלוטין או לרכז את שלבי התיקון של מיקרוסופט לתיקון, אבל הפרויקט הלך על גישה שונה שכן שתי הגישות הללו ישפיעו לרעה על הביצועים של כלי האבחון.
זה רק התחיל
ספקי אבטחת סייבר כבר החלו לראות את הפגם מנוצל באופן פעיל נגד כמה יעדים בפרופיל גבוה בארה ב ובאירופה.
למרות שכל הניצולים הנוכחיים בטבע עושים שימוש במסמכי Office, ניתן לנצל לרעה את Follina באמצעות וקטורי תקיפה אחרים, הסביר Cemerikic.
כאשר הסביר מדוע הוא האמין ש-Follina לא תיעלם בקרוב, אמר Cemerikic שכמו בכל ניצול גדול או פגיעות, האקרים מתחילים בסופו של דבר לפתח ולשחרר כלים שיסייעו למאמצי הניצול.זה בעצם הופך את הניצול המורכב למדי האלה להתקפות הצבע-ו-קליק.
"תוקפים כבר לא צריכים להבין איך המתקפה עובדת או לשרשר יחד שורה של פגיעויות, כל מה שהם צריכים לעשות זה ללחוץ על 'הפעלה' על כלי", אמר Cemerikic.
הוא טען שזה בדיוק מה שקהילת אבטחת הסייבר ראתה במהלך השבוע האחרון, עם ניצול רציני מאוד שהוכנס לידיים של תוקפים וילדי תסריט פחות מסוגלים או חסרי השכלה.
"ככל שהזמן מתקדם, ככל שהכלים האלה יהיו זמינים יותר, כך ישמש Follina יותר כשיטה לאספקת תוכנות זדוניות כדי לסכן מכונות יעד", הזהירה Cemerikic, וקוראת לאנשים לתקן את מחשבי ה-Windows שלהם ללא דיחוי.