Folje kryesore
- Një sulm i ri me klikim zero në Windows që mund të komprometojë makinat pa asnjë veprim përdoruesi është vërejtur në natyrë.
- Microsoft e ka pranuar problemin dhe ka nxjerrë hapat e korrigjimit, por defekti nuk ka ende një korrigjim zyrtar.
- Kërkuesit e sigurisë shohin se defekti është duke u shfrytëzuar në mënyrë aktive dhe presin më shumë sulme në të ardhmen e afërt.
Hakerët kanë gjetur një mënyrë për të depërtuar në një kompjuter Windows thjesht duke dërguar një skedar me qëllim të keq të krijuar posaçërisht.
I quajtur Follina, defekti është mjaft serioz pasi mund të lejojë hakerët të marrin kontrollin e plotë mbi çdo sistem Windows vetëm duke dërguar një dokument të modifikuar të Microsoft Office. Në disa raste, njerëzit as nuk duhet ta hapin skedarin, pasi pamja paraprake e skedarit të Windows është e mjaftueshme për të shkaktuar pjesët e këqija. Veçanërisht, Microsoft e ka pranuar gabimin, por ende nuk ka lëshuar një rregullim zyrtar për ta anuluar atë.
"Kjo dobësi duhet të jetë ende në krye të listës së gjërave për t'u shqetësuar," shkroi Dr. Johannes Ullrich, Dekan i Kërkimeve për Institutin e Teknologjisë SANS, në buletinin javor të SANS. "Ndërsa shitësit anti-malware po përditësojnë me shpejtësi nënshkrimet, ato janë të pamjaftueshme për t'u mbrojtur nga një gamë e gjerë shfrytëzimesh që mund të përfitojnë nga kjo dobësi."
Parapamje për kompromis
Kërcënimi u vërejt për herë të parë nga studiuesit japonezë të sigurisë në fund të majit me mirësjellje të një dokumenti keqdashës Word.
Kërkuesi i sigurisë Kevin Beaumont shpalosi cenueshmërinë dhe zbuloi se skedari.doc ngarkoi një pjesë të rreme të kodit HTML, i cili më pas thërret në Mjetin Diagnostik të Microsoft për të ekzekutuar një kod PowerShell, i cili nga ana tjetër drejton ngarkesën e dëmshme.
Windows përdor mjetin diagnostikues të Microsoft (MSDT) për të mbledhur dhe dërguar informacione diagnostikuese kur diçka nuk shkon me sistemin operativ. Aplikacionet e thërrasin mjetin duke përdorur protokollin special të URL-së MSDT (ms-msdt://), të cilin Follina synon ta shfrytëzojë.
"Ky shfrytëzim është një mal me shfrytëzime të grumbulluara njëra mbi tjetrën. Megjithatë, për fat të keq është e lehtë për t'u rikrijuar dhe nuk mund të zbulohet nga anti-viruset," shkruajnë avokatët e sigurisë në Twitter.
Në një diskutim me email me Lifewire, Nikolas Cemerikic, Inxhinier i Sigurisë Kibernetike në Immersive Labs, shpjegoi se Follina është unike. Nuk merr rrugën e zakonshme të keqpërdorimit të makrove të zyrës, kjo është arsyeja pse mund të shkaktojë kërdi edhe për njerëzit që kanë makro të çaktivizuara.
"Për shumë vite, phishing me email, i kombinuar me dokumente keqdashëse Word, ka qenë mënyra më efektive për të fituar akses në sistemin e një përdoruesi," vuri në dukje Cemerikic. "Rreziku tani është rritur nga sulmi Follina, pasi viktima duhet vetëm të hapë një dokument, ose në disa raste, të shikojë një pamje paraprake të dokumentit përmes panelit të shikimit paraprak të Windows, duke hequr nevojën për të miratuar paralajmërimet e sigurisë."
Microsoft ishte i shpejtë për të ndërmarrë disa hapa korrigjues për të zbutur rreziqet e paraqitura nga Follina. "Zbutëset që janë në dispozicion janë zgjidhje të çrregullta që industria nuk ka pasur kohë për të studiuar ndikimin e tyre," shkroi John Hammond, një studiues i lartë i sigurisë në Huntress, në blogun e kompanisë për zhytjen e thellë mbi defektin. "Ato përfshijnë ndryshimin e cilësimeve në Regjistrin e Windows, gjë që është një punë serioze sepse një hyrje e gabuar e regjistrit mund të prishë kompjuterin tuaj."
Kjo dobësi duhet të jetë ende në krye të listës së gjërave për t'u shqetësuar.
Ndërsa Microsoft nuk ka lëshuar një patch zyrtar për të rregulluar problemin, ka një jozyrtar nga projekti 0patch.
Duke folur për korrigjimin, Mitja Kolsek, bashkëthemelues i projektit 0patch, shkroi se ndërsa do të ishte e thjeshtë të çaktivizonte plotësisht mjetin Microsoft Diagnostic ose të kodifikoje hapat e riparimit të Microsoft në një patch, projekti shkoi në një qasje e ndryshme pasi të dyja këto qasje do të ndikonin negativisht në performancën e Mjetit Diagnostikues.
Sapo Filloi
Shitësit e sigurisë kibernetike kanë filluar tashmë të shohin se e meta po shfrytëzohet në mënyrë aktive kundër disa objektivave të profilit të lartë në SHBA dhe Evropë.
Megjithëse të gjitha shfrytëzimet aktuale në natyrë duket se përdorin dokumente të Office, Follina mund të abuzohet përmes vektorëve të tjerë sulmi, shpjegoi Cemerikic.
Duke shpjeguar pse ai besonte se Follina nuk do të largohej së shpejti, Cemerikic tha se, si me çdo shfrytëzim apo cenueshmëri të madhe, hakerët përfundimisht fillojnë të zhvillojnë dhe lëshojnë mjete për të ndihmuar përpjekjet e shfrytëzimit. Kjo në thelb i kthen këto shfrytëzime mjaft komplekse në sulme pikë-dhe-kliko.
"Sulmuesit nuk kanë më nevojë të kuptojnë se si funksionon sulmi ose të lidhin së bashku një seri dobësish, gjithçka që duhet të bëjnë është të klikojnë 'run' në një mjet," tha Cemerikic.
Ai argumentoi se kjo është pikërisht ajo që komuniteti i sigurisë kibernetike ka dëshmuar gjatë javës së kaluar, me një shfrytëzim shumë serioz që është vënë në duart e sulmuesve më pak të aftë ose të paarsimuar dhe fëmijëve me skenarë.
"Me kalimin e kohës, sa më shumë këto mjete të bëhen të disponueshme, aq më shumë Follina do të përdoret si një metodë e shpërndarjes së malware për të komprometuar makineritë e synuara," paralajmëroi Cemerikic, duke u kërkuar njerëzve që të rregullojnë pajisjet e tyre Windows pa vonesë.