Key Takeaway
- Serangan klik sifar Windows novel yang boleh menjejaskan mesin tanpa sebarang tindakan pengguna telah diperhatikan di alam liar.
- Microsoft telah mengakui isu tersebut dan mengeluarkan langkah-langkah pemulihan, tetapi pepijat itu belum mempunyai tampung rasmi lagi.
- Penyelidik keselamatan melihat pepijat sedang dieksploitasi secara aktif dan menjangkakan lebih banyak serangan dalam masa terdekat.
Penggodam telah menemui cara untuk menceroboh komputer Windows hanya dengan menghantar fail hasad yang direka khas.
Digelar Follina, pepijat ini agak serius kerana ia boleh membenarkan penggodam mengawal sepenuhnya mana-mana sistem Windows hanya dengan menghantar dokumen Microsoft Office yang diubah suai. Dalam sesetengah kes, orang tidak perlu membuka fail, kerana pratonton fail Windows sudah cukup untuk mencetuskan bit jahat. Terutamanya, Microsoft telah mengakui pepijat itu tetapi masih belum mengeluarkan pembetulan rasmi untuk membatalkannya.
"Kerentanan ini sepatutnya masih berada di bahagian atas senarai perkara yang perlu dibimbangkan, " Dr. Johannes Ullrich, Dekan Penyelidikan untuk Institut Teknologi SANS, menulis dalam surat berita mingguan SANS. "Walaupun vendor anti-malware mengemas kini tandatangan dengan pantas, mereka tidak mencukupi untuk melindungi daripada pelbagai eksploitasi yang mungkin mengambil kesempatan daripada kelemahan ini."
Pratonton untuk Berkompromi
Ancaman itu mula-mula dikesan oleh penyelidik keselamatan Jepun menjelang akhir Mei ihsan dokumen Word yang berniat jahat.
Penyelidik keselamatan Kevin Beaumont membongkar kelemahan dan mendapati fail.doc memuatkan sekeping kod HTML palsu, yang kemudiannya memanggil Alat Diagnostik Microsoft untuk melaksanakan kod PowerShell, yang seterusnya menjalankan muatan berniat jahat.
Windows menggunakan Alat Diagnostik Microsoft (MSDT) untuk mengumpul dan menghantar maklumat diagnostik apabila berlaku masalah dengan sistem pengendalian. Apl memanggil alat menggunakan protokol URL MSDT khas (ms-msdt://), yang Follina bertujuan untuk mengeksploitasi.
"Eksploitasi ini adalah segunung eksploitasi yang disusun di atas satu sama lain. Namun, malangnya ia mudah dibuat semula dan tidak dapat dikesan oleh anti-virus, " tulis penyokong keselamatan di Twitter.
Dalam perbincangan e-mel dengan Lifewire, Nikolas Cemerikic, Jurutera Keselamatan Siber di Immersive Labs, menjelaskan bahawa Follina adalah unik. Ia tidak mengambil laluan biasa untuk menyalahgunakan makro pejabat, itulah sebabnya ia boleh mendatangkan malapetaka bagi orang yang telah melumpuhkan makro.
"Selama bertahun-tahun, pancingan data e-mel, digabungkan dengan dokumen Word yang berniat jahat, telah menjadi cara paling berkesan untuk mendapatkan akses kepada sistem pengguna," kata Cemerikic. "Risiko kini meningkat dengan serangan Follina, kerana mangsa hanya perlu membuka dokumen, atau dalam beberapa kes, melihat pratonton dokumen melalui anak tetingkap pratonton Windows, sambil mengalih keluar keperluan untuk meluluskan amaran keselamatan."
Microsoft segera mengeluarkan beberapa langkah pemulihan untuk mengurangkan risiko yang ditimbulkan oleh Follina. "Mitigasi yang tersedia adalah penyelesaian yang tidak kemas yang industri tidak mempunyai masa untuk mengkaji kesannya," tulis John Hammond, penyelidik keselamatan kanan di Huntress, dalam blog menyelam mendalam syarikat mengenai pepijat. "Ia melibatkan menukar tetapan dalam Windows Registry, yang merupakan perniagaan yang serius kerana entri Registry yang salah boleh merosakkan mesin anda."
Kerentanan ini sepatutnya masih berada di bahagian atas senarai perkara yang perlu dibimbangkan.
Walaupun Microsoft belum mengeluarkan tampung rasmi untuk membetulkan isu tersebut, terdapat tampung tidak rasmi daripada projek 0patch.
Bercakap melalui pembetulan, Mitja Kolsek, pengasas bersama projek 0patch, menulis bahawa walaupun mudah untuk melumpuhkan alat Diagnostik Microsoft sama sekali atau untuk mengkodifikasikan langkah-langkah pemulihan Microsoft ke dalam tampung, projek itu digunakan untuk pendekatan yang berbeza kerana kedua-dua pendekatan ini akan memberi kesan negatif kepada prestasi Alat Diagnostik.
Ia Baru Bermula
Vendor keselamatan siber sudah mula melihat kelemahan itu dieksploitasi secara aktif terhadap beberapa sasaran berprofil tinggi di AS dan Eropah.
Walaupun semua eksploitasi semasa di alam liar nampaknya menggunakan dokumen Office, Follina boleh disalahgunakan melalui vektor serangan lain, jelas Cemerikic.
Menjelaskan sebab beliau percaya bahawa Follina tidak akan hilang dalam masa terdekat, Cemerikic berkata, seperti mana-mana eksploitasi atau kelemahan utama, penggodam akhirnya mula membangun dan mengeluarkan alatan untuk membantu usaha eksploitasi. Ini pada asasnya mengubah eksploitasi yang agak kompleks ini menjadi serangan titik dan klik.
"Penyerang tidak perlu lagi memahami cara serangan itu berfungsi atau merangkai satu siri kelemahan, mereka hanya perlu mengklik 'jalankan' pada alat," kata Cemerikic.
Beliau berhujah bahawa inilah yang telah disaksikan oleh komuniti keselamatan siber sepanjang minggu lalu, dengan eksploitasi yang sangat serius telah diserahkan kepada penyerang yang kurang berkebolehan atau tidak berpendidikan dan anak-anak skrip.
"Seiring berjalannya waktu, semakin banyak alatan ini tersedia, semakin banyak Follina akan digunakan sebagai kaedah penghantaran perisian hasad untuk menjejaskan mesin sasaran, " amaran Cemerikic, menggesa orang ramai menampal mesin Windows mereka tanpa berlengah-lengah.
