Key takeaways
- En ny Windows-nollklicksattack som kan äventyra maskiner utan att användaren gör något har observerats i det vilda.
- Microsoft har erkänt problemet och lagt ut åtgärdssteg, men felet har ingen officiell patch än.
- Säkerhetsforskare ser att buggen aktivt utnyttjas och förväntar sig fler attacker inom en snar framtid.
Hackare har hittat ett sätt att bryta sig in i en Windows-dator helt enkelt genom att skicka en speci altillverkad skadlig fil.
Dubbad Follina, buggen är ganska allvarlig eftersom den kan tillåta hackare att ta fullständig kontroll över vilket Windows-system som helst genom att bara skicka ett modifierat Microsoft Office-dokument. I vissa fall behöver folk inte ens öppna filen, eftersom Windows-filförhandsgranskningen räcker för att trigga de otäcka bitarna. Noterbart är att Microsoft har erkänt felet men har ännu inte släppt en officiell korrigering för att upphäva den.
"Denna sårbarhet borde fortfarande vara högst upp på listan över saker att oroa sig för", skrev Dr. Johannes Ullrich, forskningsdekanus för SANS Technology Institute, i SANS veckovisa nyhetsbrev. "Medan leverantörer av anti-malware snabbt uppdaterar signaturer, är de otillräckliga för att skydda mot det stora utbudet av utnyttjande som kan dra fördel av denna sårbarhet."
Förhandsgranskning av kompromiss
Hotet upptäcktes först av japanska säkerhetsforskare i slutet av maj med tillstånd av ett skadligt Word-dokument.
Säkerhetsforskaren Kevin Beaumont vecklade ut sårbarheten och upptäckte att.doc-filen laddade en falsk bit HTML-kod, som sedan anropar Microsoft Diagnostics Tool för att exekvera en PowerShell-kod, som i sin tur kör den skadliga nyttolasten.
Windows använder Microsoft Diagnostic Tool (MSDT) för att samla in och skicka diagnostisk information när något går fel med operativsystemet. Appar anropar verktyget med det speciella MSDT URL-protokollet (ms-msdt://), som Follina vill utnyttja.
"Den här exploateringen är ett berg av bedrifter staplade ovanpå varandra. Men det är tyvärr lätt att återskapa och kan inte upptäckas av antivirus", skrev säkerhetsförespråkare på Twitter.
I en e-postdiskussion med Lifewire förklarade Nikolas Cemerikic, Cyber Security Engineer på Immersive Labs, att Follina är unik. Det tar inte den vanliga vägen att missbruka kontorsmakron, vilket är anledningen till att det till och med kan orsaka förödelse för personer som har inaktiverat makron.
"I många år har nätfiske via e-post, i kombination med skadliga Word-dokument, varit det mest effektiva sättet att få tillgång till en användares system", påpekade Cemerikic. "Risken ökar nu av Follina-attacken, eftersom offret bara behöver öppna ett dokument, eller i vissa fall, se en förhandsgranskning av dokumentet via förhandsgranskningsfönstret i Windows, samtidigt som man tar bort behovet av att godkänna säkerhetsvarningar."
Microsoft var snabba med att lägga ut några åtgärdssteg för att minska riskerna med Follina. "De begränsningar som finns är röriga lösningar som branschen inte har hunnit studera effekten av", skrev John Hammond, senior säkerhetsforskare på Huntress, i företagets djupdykningsblogg om buggen. "De innebär att inställningarna i Windows-registret ändras, vilket är allvarligt eftersom en felaktig registerpost kan blockera din maskin."
Denna sårbarhet bör fortfarande vara högst upp på listan över saker att oroa sig för.
Medan Microsoft inte har släppt en officiell patch för att åtgärda problemet, finns det en inofficiell från 0patch-projektet.
Mittja Kolsek, medgrundare av 0patch-projektet, pratade igenom korrigeringen och skrev att även om det skulle vara enkelt att inaktivera Microsoft Diagnostic-verktyget helt eller att kodifiera Microsofts åtgärdssteg till en korrigeringsfil, gick projektet för ett annat tillvägagångssätt eftersom båda dessa tillvägagångssätt skulle påverka diagnostikverktygets prestanda negativt.
It’s Just Begun
Cybersäkerhetsleverantörer har redan börjat se att bristen aktivt utnyttjas mot några högprofilerade mål i USA och Europa.
Även om alla nuvarande bedrifter i det vilda verkar använda Office-dokument, kan Follina missbrukas genom andra attackvektorer, förklarade Cemerikic.
Cemerikic förklarade varför han trodde att Follina inte kommer att försvinna någon gång snart, och sa att, som med alla större exploateringar eller sårbarheter, så börjar hackare så småningom utveckla och släppa verktyg för att underlätta exploateringsarbetet. Detta förvandlar i grunden dessa ganska komplicerade exploateringar till peka-och-klicka-attacker.
"Angripare behöver inte längre förstå hur attacken fungerar eller kedja ihop en serie sårbarheter, allt de behöver göra är att klicka på 'kör' på ett verktyg", sa Cemerikic.
Han hävdade att detta är exakt vad cybersäkerhetsgemenskapen har sett under den senaste veckan, med en mycket allvarlig exploatering som lagts i händerna på mindre kapabla eller outbildade angripare och manusbarn.
"Ju mer dessa verktyg blir tillgängliga, desto mer kommer Follina att användas som en metod för leverans av skadlig programvara för att äventyra målmaskiner", varnade Cemerikic och uppmanade människor att korrigera sina Windows-maskiner utan dröjsmål.