موارد مهم
- یک حمله جدید بدون کلیک ویندوز که می تواند ماشین ها را بدون هیچ اقدام کاربر به خطر بیندازد، در طبیعت مشاهده شده است.
- مایکروسافت مشکل را تأیید کرده و مراحل اصلاح را انجام داده است، اما این باگ هنوز وصله رسمی ندارد.
- محققان امنیتی می بینند که این اشکال به طور فعال مورد سوء استفاده قرار می گیرد و در آینده نزدیک انتظار حملات بیشتری را دارند.
هکرها راهی برای نفوذ به رایانه ویندوزی به سادگی با ارسال یک فایل مخرب ساخته شده پیدا کرده اند.
نامگذاری شده Follina، این اشکال کاملاً جدی است زیرا می تواند به هکرها اجازه دهد تا کنترل کامل هر سیستم ویندوز را فقط با ارسال یک سند مایکروسافت آفیس اصلاح شده در دست بگیرند. در برخی موارد، افراد حتی مجبور نیستند فایل را باز کنند، زیرا پیش نمایش فایل ویندوز برای فعال کردن بیت های بد کافی است. قابل ذکر است که مایکروسافت این اشکال را پذیرفته است اما هنوز یک اصلاح رسمی برای لغو آن منتشر نکرده است.
دکتر یوهانس اولریچ، رئیس تحقیقات موسسه فناوری SANS، در خبرنامه هفتگی SANS نوشت: «این آسیبپذیری همچنان باید در صدر فهرست چیزهایی باشد که باید نگران آنها باشند». "در حالی که فروشندگان ضد بدافزار به سرعت امضاها را به روز می کنند، آنها برای محافظت در برابر طیف گسترده ای از سوء استفاده ها که ممکن است از این آسیب پذیری استفاده کنند، کافی نیستند."
پیشنمایش برای سازش
این تهدید برای اولین بار توسط محققان امنیتی ژاپنی در اواخر ماه مه و به واسطه یک سند مخرب Word مشاهده شد.
محقق امنیت کوین بومونت آسیب پذیری را آشکار کرد و کشف کرد که فایل.doc یک قطعه جعلی از کد HTML بارگیری می کند، که سپس از ابزار تشخیصی مایکروسافت برای اجرای یک کد PowerShell استفاده می کند که به نوبه خود بار مخرب را اجرا می کند..
Windows از ابزار تشخیصی مایکروسافت (MSDT) برای جمعآوری و ارسال اطلاعات تشخیصی در صورت بروز مشکل در سیستم عامل استفاده میکند. برنامهها این ابزار را با استفاده از پروتکل URL ویژه MSDT (ms-msdt://) فراخوانی میکنند که Follina قصد دارد از آن بهرهبرداری کند.
"این اکسپلویت کوهی از اکسپلویت است که روی هم چیده شده اند. با این حال، متأسفانه بازآفرینی آن آسان است و توسط آنتی ویروس قابل شناسایی نیست."، مدافعان امنیتی در توییتر نوشتند.
در بحث ایمیلی با Lifewire، نیکلاس Cemerikic، مهندس امنیت سایبری در آزمایشگاه Immersive، توضیح داد که Follina منحصر به فرد است. این روش معمول استفاده نادرست از ماکروهای اداری را در پیش نمی گیرد، به همین دلیل است که حتی می تواند برای افرادی که ماکروها را غیرفعال کرده اند، ویران کند.
Cemerikic خاطرنشان کرد: «سالهاست، فیشینگ ایمیل، همراه با اسناد مخرب Word، مؤثرترین راه برای دسترسی به سیستم کاربر بوده است. "در حال حاضر خطر با حمله Follina افزایش می یابد، زیرا قربانی فقط باید یک سند را باز کند، یا در برخی موارد، پیش نمایش سند را از طریق پنجره پیش نمایش ویندوز مشاهده کند، در حالی که نیاز به تایید هشدارهای امنیتی را از بین می برد."
مایکروسافت به سرعت برخی از اقدامات اصلاحی را برای کاهش خطرات ناشی از فولینا انجام داد. جان هاموند، محقق ارشد امنیتی در Huntress، در وبلاگ غواصی عمیق این شرکت در مورد این باگ، نوشت: «تحصیلهای موجود راهحلهای آشفتهای هستند که صنعت زمان بررسی تأثیر آنها را نداشته است». "آنها شامل تغییر تنظیمات در رجیستری ویندوز هستند، که یک کار جدی است زیرا یک ورودی نادرست رجیستری می تواند دستگاه شما را خراب کند."
این آسیبپذیری همچنان باید در صدر فهرست چیزهایی باشد که باید نگران آن باشید.
در حالی که مایکروسافت پچ رسمی برای رفع این مشکل منتشر نکرده است، یک پچ غیر رسمی از پروژه 0patch وجود دارد.
در حال صحبت از طریق رفع مشکل، Mitja Kolsek، یکی از بنیانگذاران پروژه 0patch، نوشت که اگرچه غیرفعال کردن ابزار تشخیصی مایکروسافت به طور کلی یا کدگذاری مراحل اصلاح مایکروسافت در یک وصله ساده است، اما این پروژه به دنبال آن است. یک رویکرد متفاوت، زیرا هر دو این رویکردها بر عملکرد ابزار تشخیصی تأثیر منفی میگذارند.
تازه شروع شده
فروشندگان امنیت سایبری قبلاً شاهد استفاده فعالانه از این نقص علیه برخی از اهداف برجسته در ایالات متحده و اروپا بوده اند.
اگرچه به نظر می رسد تمام اکسپلویت های فعلی در طبیعت از اسناد Office استفاده می کنند، اما Follina می تواند از طریق دیگر بردارهای حمله مورد سوء استفاده قرار گیرد، Cemerikic توضیح داد.
Cemerikic در توضیح اینکه چرا معتقد بود Follina به این زودی ها از بین نمی رود، گفت که مانند هر سوء استفاده یا آسیب پذیری بزرگ، هکرها در نهایت شروع به توسعه و انتشار ابزارهایی برای کمک به تلاش های بهره برداری می کنند.این امر اساساً این سوء استفادههای پیچیده را به حملات نقطه و کلیک تبدیل میکند.
"مهاجمان دیگر نیازی به درک نحوه عملکرد حمله یا زنجیره ای از آسیب پذیری ها ندارند، تنها کاری که باید انجام دهند این است که روی "اجرای" یک ابزار کلیک کنند."
او استدلال کرد که این دقیقاً همان چیزی است که جامعه امنیت سایبری در هفته گذشته شاهد آن بوده است، با سوء استفاده بسیار جدی که در دستان مهاجمان کمتر توانا یا بی سواد و بچه های فیلمنامه نویس قرار گرفته است.
"هر چه زمان پیش می رود، هرچه این ابزارها بیشتر در دسترس باشند، از Follina بیشتر به عنوان روشی برای تحویل بدافزار برای به خطر انداختن ماشین های هدف استفاده می شود."
