Հիմնական տանողներ
- Windows-ի զրոյական սեղմումով նոր հարձակում, որը կարող է վտանգի ենթարկել մեքենաները առանց օգտագործողի որևէ գործողության, նկատվել է վայրի բնության մեջ:
- Microsoft-ը ընդունել է խնդիրը և դադարեցրել է վերացման քայլերը, սակայն սխալը դեռ չունի պաշտոնական պատչ:
- Անվտանգության հետազոտողները տեսնում են, որ սխալն ակտիվորեն շահագործվում է և մոտ ապագայում ակնկալում են ավելի շատ հարձակումներ:
Հաքերները գտել են Windows համակարգիչ ներխուժելու միջոց՝ պարզապես ուղարկելով հատուկ մշակված վնասակար ֆայլ:
Կանվանված Follina սխալը բավականին լուրջ է, քանի որ այն կարող է թույլ տալ հաքերներին ամբողջական վերահսկողություն վերցնել Windows-ի ցանկացած համակարգի վրա՝ պարզապես ուղարկելով փոփոխված Microsoft Office փաստաթուղթ: Որոշ դեպքերում մարդիկ նույնիսկ ստիպված չեն բացել ֆայլը, քանի որ Windows ֆայլի նախադիտումը բավական է տհաճ բիթերը գործարկելու համար: Հատկանշական է, որ Microsoft-ը ընդունել է սխալը, բայց դեռ չի հրապարակել պաշտոնական շտկում այն չեղարկելու համար:
«Այս խոցելիությունը դեռ պետք է լինի անհանգստանալու պատճառների ցանկի վերևում», - գրել է SANS տեխնոլոգիական ինստիտուտի հետազոտության դեկան դոկտոր Յոհաննես Ուլրիխը SANS շաբաթաթերթում: «Չնայած չարամիտ ծրագրերի դեմ պայքարող վաճառողներն արագորեն թարմացնում են ստորագրությունները, դրանք անբավարար են պաշտպանվելու լայն շահագործումներից, որոնք կարող են օգտվել այս խոցելիությունից»:
Նախադիտում փոխզիջման համար
Սպառնալիքը առաջին անգամ նկատվել է ճապոնացի անվտանգության հետազոտողների կողմից մայիսի վերջին՝ չարամիտ Word փաստաթղթի շնորհիվ:
Անվտանգության հետազոտող Քևին Բոմոնտը բացեց խոցելիությունը և հայտնաբերեց, որ.doc ֆայլը բեռնված է կեղծ HTML կոդի մի կտոր, որն այնուհետև կանչում է Microsoft-ի ախտորոշման գործիքին՝ գործարկելու PowerShell կոդը, որն իր հերթին գործարկում է վնասակար բեռնվածությունը:
Windows-ն օգտագործում է Microsoft-ի ախտորոշիչ գործիքը (MSDT)՝ ախտորոշիչ տեղեկատվություն հավաքելու և ուղարկելու համար, երբ օպերացիոն համակարգի հետ ինչ-որ բան սխալ է լինում: Հավելվածները կոչում են գործիքը՝ օգտագործելով հատուկ MSDT URL արձանագրությունը (ms-msdt://), որը Follina-ն նպատակ ունի օգտագործել:
«Այս շահագործումը միմյանց վրա դրված սխրանքների լեռ է: Սակայն, ցավոք, այն հեշտ է նորից ստեղծել և չի կարող հայտնաբերվել հակավիրուսային միջոցներով», - գրել են անվտանգության պաշտպանները Twitter-ում:
Lifewire-ի հետ էլեկտրոնային փոստի քննարկման ժամանակ Immersive Labs-ի կիբերանվտանգության ինժեներ Նիկոլաս Չեմերիկիչը բացատրեց, որ Follina-ն եզակի է: Այն չի գնում գրասենյակային մակրոների չարաշահման սովորական ճանապարհով, ինչի պատճառով այն կարող է նույնիսկ ավերածություններ առաջացնել այն մարդկանց համար, ովքեր անջատված են մակրոները:
«Երկար տարիներ էլփոստի ֆիշինգը, զուգորդված չարամիտ Word փաստաթղթերի հետ, ամենաարդյունավետ միջոցն էր օգտատերերի համակարգ մուտք գործելու համար», - նշել է Cemerikic-ը: «Այժմ վտանգը մեծանում է Follina-ի հարձակման պատճառով, քանի որ զոհին միայն պետք է բացել փաստաթուղթը, կամ որոշ դեպքերում դիտել փաստաթղթի նախադիտումը Windows-ի նախադիտման վահանակի միջոցով՝ միաժամանակ հեռացնելով անվտանգության նախազգուշացումները հաստատելու անհրաժեշտությունը»:
Microsoft-ը շտապեց կատարել որոշ վերականգնողական քայլեր՝ մեղմելու Follina-ի կողմից բխող ռիսկերը: «Հասանելի մեղմացումները խառնաշփոթ լուծումներ են, որոնց ազդեցությունը արդյունաբերությունը ժամանակ չի ունեցել ուսումնասիրելու», - գրել է Ջոն Համոնդը, Huntress-ի անվտանգության ավագ հետազոտող, ընկերության խորը սուզման բլոգում սխալի մասին: «Դրանք ներառում են Windows ռեեստրի կարգավորումների փոփոխություն, ինչը լուրջ խնդիր է, քանի որ ռեեստրի սխալ մուտքագրումը կարող է կոտրել ձեր մեքենան»:
Այս խոցելիությունը դեռ պետք է լինի անհանգստանալու պատճառների ցանկի առաջին տեղում:
Չնայած Microsoft-ը չի թողարկել պաշտոնական կարկատել խնդիրը շտկելու համար, կա ոչ պաշտոնական 0patch նախագծից:
Խոսելով շտկման մասին՝ 0patch նախագծի համահիմնադիր Միտյա Կոլսեկը գրել է, որ թեև հեշտ կլիներ ընդհանրապես անջատել Microsoft-ի ախտորոշիչ գործիքը կամ կոդավորել Microsoft-ի վերականգնման քայլերը կարկատակի մեջ, նախագիծը գնաց. այլ մոտեցում, քանի որ այս երկու մոտեցումներն էլ բացասաբար կանդրադառնան Ախտորոշիչ գործիքի աշխատանքի վրա:
Դա նոր է սկսվել
Կիբերանվտանգության վաճառողներն արդեն սկսել են տեսնել, որ արատը ակտիվորեն օգտագործվում է ԱՄՆ-ում և Եվրոպայում որոշ բարձրակարգ թիրախների դեմ:
Չնայած վայրի բնության բոլոր ընթացիկ շահագործումները կարծես օգտագործում են Office փաստաթղթերը, Follina-ն կարող է չարաշահվել այլ հարձակման վեկտորների միջոցով, բացատրեց Cemerikic-ը:
Բացատրելով, թե ինչու էր կարծում, որ Ֆոլինան շուտով չի հեռանա, Ջեմերիկիչը ասաց, որ, ինչպես ցանկացած խոշոր շահագործման կամ խոցելիության դեպքում, հաքերները ի վերջո սկսում են մշակել և թողարկել գործիքներ՝ օգնելու շահագործման ջանքերին:Սա, ըստ էության, այս բավականին բարդ շահագործումները վերածում է «point-and-click» գրոհների:
«Հարձակվողներն այլևս կարիք չունեն հասկանալու, թե ինչպես է գործում հարձակումը կամ մի շարք խոցելիություններ շղթայել, նրանք ընդամենը պետք է սեղմեն «գործարկել» գործիքի վրա», - ասաց Ջեմերիկիչը::
Նա պնդում էր, որ դա հենց այն է, ինչ կիբերանվտանգության համայնքը ականատես է եղել անցած շաբաթվա ընթացքում, երբ շատ լուրջ շահագործում է դրվել ավելի քիչ ընդունակ կամ անկիրթ հարձակվողների և սցենարիստ երեխաների ձեռքում:
«Որքան ժամանակն անցնում է, որքան այս գործիքները հասանելի լինեն, այնքան Follina-ն կօգտագործվի որպես չարամիտ ծրագրերի առաքման մեթոդ՝ թիրախային մեքենաները վտանգի ենթարկելու համար», - նախազգուշացրել է Cemerikic-ը՝ կոչ անելով մարդկանց առանց հապաղելու կարկատել իրենց Windows-ի սարքերը:
