Негізгі ұсыныстар
- Жабайы табиғатта пайдаланушы әрекетінсіз машиналарды бұзатын жаңа Windows нөлдік басу шабуылы байқалды.
- Microsoft мәселені мойындады және түзету қадамдарын қойды, бірақ қатенің ресми патчі әлі жоқ.
- Қауіпсіздік зерттеушілері қатенің белсенді түрде пайдаланылып жатқанын көріп, жақын арада тағы да шабуылдарды күтуде.
Хакерлер арнайы жасалған зиянды файлды жіберу арқылы Windows компьютерін бұзудың жолын тапты.
Фоллина деп аталады, қате өте маңызды, себебі ол хакерлерге өзгертілген Microsoft Office құжатын жіберу арқылы кез келген Windows жүйесін толық бақылауға мүмкіндік береді. Кейбір жағдайларда адамдарға файлды ашудың қажеті жоқ, өйткені Windows файлдарын алдын ала қарау жағымсыз биттерді іске қосу үшін жеткілікті. Айта кетейік, Microsoft қатені мойындады, бірақ оны жою үшін ресми түзетуді әлі шығарған жоқ.
"Бұл осалдық әлі де алаңдататын нәрселер тізімінің басында болуы керек", - деп жазды SANS технологиялық институтының зерттеу деканы доктор Йоханнес Улрих, SANS апталық ақпараттық бюллетенінде. "Зиянды бағдарламаларға қарсы жеткізушілер қолтаңбаларды жылдам жаңартып жатқанымен, олар осы осалдықты пайдаланатын эксплуаттардың кең ауқымынан қорғауға жеткіліксіз."
Мәміле жасау үшін алдын ала қарау
Қауіпті алғаш рет жапондық қауіпсіздік зерттеушілері мамыр айының соңында зиянды Word құжаты арқылы байқады.
Қауіпсіздік зерттеушісі Кевин Бомонт осалдықты ашып,.doc файлына HTML кодының жалған бөлігін жүктегенін анықтады, содан кейін ол Microsoft диагностика құралын PowerShell кодын орындауға шақырады, ол өз кезегінде зиянды пайдалы жүктемені іске қосады.
Windows операциялық жүйеде бірдеңе дұрыс емес болғанда диагностикалық ақпаратты жинау және жіберу үшін Microsoft диагностикалық құралын (MSDT) пайдаланады. Қолданбалар құралды Follina пайдалануды мақсат ететін арнайы MSDT URL протоколын (ms-msdt://) пайдаланып шақырады.
"Бұл эксплойт бір-бірінің үстіне жиналған таудай эксплойт. Алайда, өкінішке орай, оны қайта жасау оңай және оны антивирус анықтай алмайды", - деп жазды қауіпсіздікті қорғаушылар Twitter-де.
Lifewire-пен электрондық пошта пікірталасында Николас Чемерикич, Immersive Labs киберқауіпсіздік инженері Фоллинаның бірегей екенін түсіндірді. Ол кеңсе макростарын дұрыс пайдаланбаудың әдеттегі жолын ұстанбайды, сондықтан ол макростарды өшірген адамдар үшін де зиян келтіруі мүмкін.
«Көп жылдар бойы зиянды Word құжаттарымен біріктірілген электрондық пошта фишингі пайдаланушының жүйесіне қол жеткізудің ең тиімді жолы болды», - деп атап өтті Cemerikic. "Қауіпті қазір Follina шабуылы күшейтеді, себебі жәбірленуші тек құжатты ашуы керек немесе кейбір жағдайларда Windows алдын ала қарау тақтасы арқылы құжатты алдын ала қарауды көру керек, сонымен бірге қауіпсіздік ескертулерін мақұлдау қажеттілігі жойылды."
Microsoft компаниясы Follina тудыратын қауіптерді азайту үшін кейбір түзету қадамдарын тез жасады. «Қол жетімді жеңілдету шаралары - бұл саланың әсерін зерттеуге уақыты болмаған күрделі шешімдер», - деп жазды Huntress компаниясының қауіпсіздік жөніндегі аға зерттеушісі Джон Хаммонд компанияның қате туралы терең сүңгуір блогында. "Олар Windows тізіліміндегі параметрлерді өзгертуді қамтиды, бұл маңызды мәселе, себебі тізілімнің қате жазбасы құрылғыңызды бұзып жіберуі мүмкін."
Бұл осалдық әлі де алаңдататын нәрселер тізімінің басында болуы керек.
Microsoft мәселені шешу үшін ресми патч шығармағанымен, 0patch жобасынан бейресми нұсқасы бар.
Түзету туралы әңгімелей отырып, 0patch жобасының негізін қалаушы Митья Колсек Microsoft диагностикалық құралын толығымен өшіру немесе Microsoft корпорациясының түзету қадамдарын патчқа кодтау оңай болатынын жазды. басқа тәсіл, өйткені бұл екі тәсіл де диагностикалық құралдың жұмысына кері әсер етеді.
Бұл енді ғана басталды
Киберқауіпсіздік өндірушілері бұл кемшіліктің АҚШ пен Еуропадағы кейбір жоғары профильді мақсаттарға қарсы белсенді түрде пайдаланылып жатқанын көре бастады.
Жабайы табиғаттағы барлық ағымдағы эксплуатациялар Office құжаттарын пайдаланатын сияқты болғанымен, Фоллинаны басқа шабуыл векторлары арқылы теріс пайдалануға болады, деп түсіндірді Cemerikic.
Фоллинаның жақын арада жоғалып кетпейтініне неліктен сенгенін түсіндіріп, Джемерикич, кез келген ірі эксплуатация немесе осалдық сияқты, хакерлер ақырында қанау әрекеттеріне көмектесу үшін құралдарды жасап, шығара бастайтынын айтты. Бұл өте күрделі эксплуаттарды көрсету және басу арқылы жасалған шабуылдарға айналдырады.
"Шабуыл жасаушыларға енді шабуылдың қалай жұмыс істейтінін түсінудің немесе бірқатар осалдықтарды біріктірудің қажеті жоқ, тек құралдағы "іске қосу" түймесін басу керек", - деді Cemerikic.
Ол соңғы аптада киберқауіпсіздік қауымдастығы дәл осындай жағдайға куә болды деп дәлелдеді, бұл өте ауыр әрекет қабілеттілігі төмен немесе білімі жоқ шабуылдаушылар мен сценарийші балалардың қолына берілді.
"Уақыт өткен сайын бұл құралдар қолжетімді болған сайын, Follina мақсатты машиналарды бұзу үшін зиянды бағдарламаны жеткізу әдісі ретінде көбірек пайдаланылады", - деп ескертті Cemerikic адамдарды Windows құрылғыларын кідіріссіз түзетуге шақырды.
