Негизги алып салуулар
- Жапайы жаратылышта колдонуучунун эч кандай аракети жок эле машиналарды бузушу мүмкүн болгон жаңы Windows чабуулу байкалды.
- Microsoft көйгөйдү моюнга алып, оңдоо кадамдарын койду, бирок мүчүлүштүктүн азырынча расмий патчтары жок.
- Коопсуздук боюнча изилдөөчүлөр мүчүлүштүктөрдү жигердүү пайдаланып жатканын көрүп, жакынкы келечекте дагы көп чабуулдарды күтүшөт.
Хакерлер атайын жасалган зыяндуу файлды жөнөтүү менен Windows компьютерин бузуунун жолун табышты.
Фоллина деп аталган ката абдан олуттуу, анткени ал хакерлерге жөн гана өзгөртүлгөн Microsoft Office документин жөнөтүү аркылуу каалаган Windows тутумун толук башкарууга мүмкүндүк берет. Кээ бир учурларда, адамдарга файлды ачуунун деле кереги жок, анткени Windows файлын алдын ала көрүү жагымсыз биттерди козгоо үчүн жетиштүү. Белгилей кетсек, Microsoft катаны моюнга алды, бирок аны жокко чыгаруу үчүн расмий оңдоону чыгара элек.
"Бул аялуу дагы эле тынчсыздана турган нерселердин тизмесинин башында турушу керек", - деп жазган SANS Технология Институтунун изилдөөлөр бөлүмүнүн деканы доктор Йоханнес Уллрих, SANS жумалык маалымат бюллетенинде. "Кесепеттүү программага каршы сатуучулар кол тамгаларды тез жаңыртып жатканы менен, алар бул кемчиликтен пайдаланышы мүмкүн болгон эксплуатациялардын кеңири спектринен коргоого жетишсиз."
Компромисс үчүн алдын ала көрүү
Коркунучту биринчи жолу жапон коопсуздук изилдөөчүлөрү май айынын аягында зыяндуу Word документинин жардамы менен байкашкан.
Коопсуздук боюнча изилдөөчү Кевин Бомонт кемчиликти ачып,.doc файлына HTML кодунун жалган бөлүгү жүктөлгөнүн аныктады, андан кийин ал Microsoft Диагностика куралын PowerShell кодун аткаруу үчүн чакырат, ал өз кезегинде зыяндуу пайдалуу жүктү иштетет.
Windows операциялык тутумда бир нерсе туура эмес болгондо, диагностикалык маалыматты чогултуу жана жөнөтүү үчүн Microsoft диагностикалык куралын (MSDT) колдонот. Колдонмолор куралды атайын MSDT URL протоколун (ms-msdt://) колдонуп чакырышат, аны Follina пайдаланууга багытталган.
"Бул эксплойт бири-биринин үстүнө тизилген эксплуаттардын тоосу. Бирок, тилекке каршы, аны кайра түзүү оңой жана антивирус аны аныктоого мүмкүн эмес ", - деп жазды коопсуздукту коргоочулар Twitter'де.
Lifewire менен электрондук почта талкуусунда, Immersive Labs кибер коопсуздук инженери Николас Чемерикич Фоллинанын уникалдуу экенин түшүндүрдү. Ал кеңсе макросторун туура эмес колдонуунун демейки жолуна кирбейт, ошондуктан ал макросторду өчүргөн адамдар үчүн да кыйроого алып келиши мүмкүн.
"Көп жылдар бою зыяндуу Word документтери менен айкалышкан электрондук почта фишинги колдонуучунун тутумуна кирүүнүн эң натыйжалуу жолу болуп келген", - деп белгиледи Cemerikic. "Азыр Follina чабуулу коркунучун күчөтөт, анткени жабырлануучу документти ачышы керек, же кээ бир учурларда Windows алдын ала көрүү панели аркылуу документтин алдын ала көрүүсүн көрө алат, ошол эле учурда коопсуздук эскертүүлөрүн бекитүү зарылчылыгы жок."
Microsoft Follina келтирген тобокелдиктерди азайтуу үчүн дароо оңдоо кадамдарын жасады. "Жеткиликтүү жумшартуу - бул тармактын таасирин изилдөөгө убактысы жок башаламан чечимдер", - деп жазган Huntress компаниясынын коопсуздук боюнча улук изилдөөчүсү Жон Хаммонд компаниянын ката жөнүндө терең чөмүлүү блогунда. "Алар Windows Реестриндеги жөндөөлөрдү өзгөртүүнү камтыйт, бул олуттуу иш, анткени Реестрге туура эмес жазуу сиздин машинаңызды бузушу мүмкүн."
Бул аялуу дагы эле тынчсыздана турган нерселердин тизмесинин башында турушу керек.
Маселени оңдоо үчүн Microsoft расмий патч чыгара элек болсо да, 0patch долбоорунан расмий эмес жаңысы бар.
Оңдоо жөнүндө айтып жатып, 0patch долбоорунун тең негиздөөчүсү Митжа Колсек Microsoft Диагностика куралын толугу менен өчүрүү же Microsoftтун оңдоо кадамдарын патчка коддоо оңой болорун жазган. башкача мамиле, анткени бул эки ыкма тең Диагностикалык куралдын иштешине терс таасирин тийгизет.
Бул жаңы эле башталды
Киберкоопсуздуктун сатуучулары бул кемчилик АКШ менен Европадагы кээ бир жогорку профилдеги максаттарга каршы активдүү колдонулуп жатканын көрө башташты.
Жапайы жаратылыштагы учурдагы бардык эксплуатациялар Office документтерин колдонуп жаткандай көрүнгөнү менен, Фоллинаны башка чабуул векторлору аркылуу кыянаттык менен колдонууга болот, деп түшүндүрдү Cemerikic.
Фоллинанын жакында жок болуп кетпейтине эмне үчүн ишенгенин түшүндүрүп жатып, Жемерикич, ар кандай чоң эксплуатация же аялуу сыяктуу эле, хакерлер акыры эксплуатация аракеттерине жардам берүү үчүн куралдарды иштеп чыгып, чыгара баштаарын айтты. Бул, негизинен, бул өтө татаал эксплуатацияларды чекит жана чыкылдатуу чабуулдарына айлантат.
"Чабуулчулар мындан ары чабуулдун кантип иштээрин түшүнүшүнүн же бир катар алсыздыктарды бириктирүүнүн кереги жок, болгону куралдагы "чаркатуу" баскычын чыкылдатуу керек ", - деди Cemerikic.
Ал акыркы жумада киберкоопсуздук коомчулугу дал ушундай көрүнүшкө күбө болгонун ырастады, бул өтө олуттуу эксплуатацияга жөндөмдүүлүгү аз же билими жок чабуулчулардын жана сценарийдин балдарынын колуна түшкөн.
"Убакыттын өтүшү менен бул куралдар канчалык көп болсо, Follina максаттуу машиналарды бузуу үчүн кесепеттүү программаны жеткирүү ыкмасы катары ошончолук көп колдонулат ", - деп эскертти Cemerikic, адамдарды Windows машиналарын кечиктирбестен оңдоого үндөдү.