მთავარი წაღებები
- ახალი Windows ნულოვანი დაწკაპუნების შეტევა, რომელსაც შეუძლია კომპრომეტირება მოახდინოს მანქანებზე მომხმარებლის ყოველგვარი ქმედების გარეშე, დაფიქსირდა ბუნებაში.
- Microsoft-მა აღიარა პრობლემა და გამოასწორა ნაბიჯები, მაგრამ შეცდომას ჯერ არ აქვს ოფიციალური პაჩი.
- უსაფრთხოების მკვლევარები ხედავენ, რომ შეცდომის აქტიური ექსპლუატაცია ხდება და უახლოეს მომავალში ელიან მეტ თავდასხმებს.
ჰაკერებმა იპოვეს Windows კომპიუტერში შეღწევის გზა უბრალოდ სპეციალურად შექმნილი მავნე ფაილის გაგზავნით.
დასახელებული Follina, შეცდომა საკმაოდ სერიოზულია, რადგან მას შეუძლია ჰაკერებს საშუალება მისცეს სრული კონტროლი აიღონ Windows-ის ნებისმიერ სისტემაზე მხოლოდ Microsoft Office-ის შეცვლილი დოკუმენტის გაგზავნით. ზოგიერთ შემთხვევაში, ადამიანებს არც კი უწევთ ფაილის გახსნა, რადგან Windows-ის ფაილის წინასწარი გადახედვა საკმარისია უსიამოვნო ბიტების გასააქტიურებლად. აღსანიშნავია, რომ Microsoft-მა აღიარა ხარვეზი, მაგრამ ჯერ არ გამოუქვეყნებია ოფიციალური შესწორება მის გასაუქმებლად.
"ეს დაუცველობა კვლავ უნდა იყოს სათავეში იმ საკითხების სიაში, რაზეც უნდა აწუხებდეთ," წერს დ. იოჰანეს ულრიხი, SANS ტექნოლოგიური ინსტიტუტის კვლევის დეკანი, SANS-ის ყოველკვირეულ ბიულეტენში. „მიუხედავად იმისა, რომ მავნე პროგრამების გამყიდველები სწრაფად ახლებენ ხელმოწერებს, ისინი არაადეკვატურია იმ ექსპლოიტების ფართო სპექტრისგან დასაცავად, რომლებმაც შეიძლება ისარგებლონ ამ დაუცველობით.“
გადახედვა კომპრომისისთვის
მუქარა პირველად შენიშნეს იაპონელმა უსაფრთხოების მკვლევარებმა მაისის ბოლოს, მავნე Word დოკუმენტის თავაზიანობით.
უსაფრთხოების მკვლევარმა კევინ ბომონტმა აღმოაჩინა დაუცველობა და აღმოაჩინა, რომ.doc ფაილმა ჩატვირთა HTML კოდის ყალბი ნაწილი, რომელიც შემდეგ მოუწოდებს Microsoft Diagnostics Tool-ს შეასრულოს PowerShell კოდი, რომელიც თავის მხრივ აწარმოებს მავნე დატვირთვას.
Windows იყენებს Microsoft Diagnostic Tool-ს (MSDT) სადიაგნოსტიკო ინფორმაციის შესაგროვებლად და გასაგზავნად, როდესაც ოპერაციულ სისტემაში რაიმე შეფერხებულია. აპები უწოდებს ხელსაწყოს სპეციალური MSDT URL პროტოკოლის (ms-msdt://), რომლის გამოყენებასაც Follina მიზნად ისახავს.
"ეს ექსპლოიტი არის ერთმანეთზე დაწყობილი ექსპლოიტების მთა. თუმცა, სამწუხაროდ, მისი ხელახლა შექმნა მარტივია და მისი აღმოჩენა ანტივირუსით შეუძლებელია", - წერენ უსაფრთხოების დამცველები Twitter-ზე.
Lifewire-თან ელ. დისკუსიისას ნიკოლას ცემერიკიჩმა, კიბერუსაფრთხოების ინჟინერმა Immersive Labs-ში, განმარტა, რომ Follina უნიკალურია. ის არ იღებს საოფისე მაკროების ბოროტად გამოყენების ჩვეულ მარშრუტს, რის გამოც მას შეუძლია ზიანი მიაყენოს ადამიანებს, რომლებსაც აქვთ გამორთული მაკროები.
"მრავალი წლის განმავლობაში, ელ.ფოსტის ფიშინგი, შერწყმული მავნე Word დოკუმენტებთან, იყო ყველაზე ეფექტური გზა მომხმარებლის სისტემაზე წვდომის მოსაპოვებლად", - აღნიშნა Cemerikic-მა. „რისკი ახლა იზრდება Follina-ს შეტევით, რადგან მსხვერპლს მხოლოდ დოკუმენტის გახსნა სჭირდება, ან ზოგიერთ შემთხვევაში, დოკუმენტის წინასწარი გადახედვის ნახვა Windows-ის გადახედვის პანელის მეშვეობით, ამავდროულად მოხსნის უსაფრთხოების გაფრთხილებების დამტკიცების საჭიროებას.“
Microsoft-მა სწრაფად გამოავლინა რამდენიმე ნაბიჯი ფოლინას მიერ გამოწვეული რისკების შესამცირებლად. „ხელმისაწვდომი შერბილებები არის ბინძური გამოსავალი, რომლის გავლენის შესასწავლად ინდუსტრიას არ ჰქონდა დრო,“- წერს ჯონ ჰამონდი, Huntress-ის უსაფრთხოების უფროსი მკვლევარი, კომპანიის ღრმა ჩაყვინთვის ბლოგში შეცდომების შესახებ. "ისინი მოიცავს Windows რეესტრის პარამეტრების შეცვლას, რაც სერიოზული საქმეა, რადგან რეესტრის არასწორმა ჩანაწერმა შეიძლება დაარღვიოს თქვენი მანქანა."
ეს დაუცველობა მაინც უნდა იყოს საფიქრალი საგანთა სიის სათავეში.
მიუხედავად იმისა, რომ Microsoft-მა არ გამოუშვა ოფიციალური პატჩი პრობლემის მოსაგვარებლად, არის არაოფიციალური პატჩი 0patch პროექტისგან.
გამოსწორებისას, მიტია კოლსეკმა, 0patch პროექტის თანადამფუძნებელმა, დაწერა, რომ მიუხედავად იმისა, რომ მარტივი იქნებოდა Microsoft-ის დიაგნოსტიკური ინსტრუმენტის საერთოდ გამორთვა ან Microsoft-ის გამოსწორების ნაბიჯების პატჩში კოდირება, პროექტი წავიდა. განსხვავებული მიდგომა, რადგან ორივე ეს მიდგომა უარყოფითად იმოქმედებს დიაგნოსტიკური ხელსაწყოს მუშაობაზე.
ეს ახლახან დაიწყო
კიბერუსაფრთხოების მომწოდებლებმა უკვე შეამჩნიეს ხარვეზის აქტიური გამოყენება ზოგიერთი გახმაურებული სამიზნეების წინააღმდეგ აშშ-სა და ევროპაში.
მიუხედავად იმისა, რომ ველურ სამყაროში ყველა მიმდინარე ექსპლოიტი იყენებს Office დოკუმენტებს, Follina შეიძლება ბოროტად იქნას გამოყენებული თავდასხმის სხვა ვექტორების მეშვეობით, განმარტა Cemerikic.
აეხსნა, თუ რატომ სჯეროდა, რომ ფოლინა მალე არ წავა, ჩემერიკიჩმა თქვა, რომ, როგორც ნებისმიერი ძირითადი ექსპლოიტის ან დაუცველობის შემთხვევაში, ჰაკერები საბოლოოდ იწყებენ ინსტრუმენტების შემუშავებას და გამოშვებას, რათა დაეხმარონ ექსპლუატაციის ძალისხმევას.ეს არსებითად აქცევს ამ საკმაოდ რთულ ექსპლოიტებს წერტილ-დაწკაპუნების შეტევებად.
"თავდამსხმელებს აღარ სჭირდებათ იმის გაგება, თუ როგორ მუშაობს თავდასხმა ან მიაჯაჭვონ დაუცველობების სერია, მათ მხოლოდ უნდა დააჭირონ "გაშვებას" ხელსაწყოზე", - თქვა ჯემერიკიჩმა.
ის ამტკიცებდა, რომ ეს არის ზუსტად ის, რაც კიბერუსაფრთხოების საზოგადოებამ შეესწრო გასული კვირის განმავლობაში, ძალიან სერიოზული ექსპლუატაციის დროს ნაკლებად ქმედუნარიანი ან გაუნათლებელი თავდამსხმელებისა და სცენარისტების მქონე ბავშვების ხელში.
"რაც დრო გადის, რაც უფრო მეტად გახდება ეს ხელსაწყოები, მით უფრო მეტ ფოლინას გამოიყენებენ, როგორც მავნე პროგრამების მიწოდების მეთოდს სამიზნე მანქანების კომპრომისისთვის", - გააფრთხილა Cemerikic-მა და მოუწოდა ხალხს, დაუყოვნებლად დააყენონ Windows-ის აპარატები.