Əsas Çıxarışlar
- Vəhşi təbiətdə heç bir istifadəçi hərəkəti olmadan maşınları təhlükə altına ala bilən yeni Windows sıfır klik hücumu müşahidə edilib.
- Microsoft problemi etiraf etdi və düzəliş addımlarını atdı, lakin baqın hələ rəsmi yaması yoxdur.
- Təhlükəsizlik tədqiqatçıları baqın aktiv şəkildə istifadə edildiyini görür və yaxın gələcəkdə daha çox hücum gözləyirlər.
Hakerlər sadəcə olaraq xüsusi hazırlanmış zərərli fayl göndərməklə Windows kompüterini sındırmağın yolunu tapıblar.
Follina dublyajı, səhv olduqca ciddidir, çünki o, hakerlərə sadəcə dəyişdirilmiş Microsoft Office sənədini göndərməklə istənilən Windows sistemi üzərində tam nəzarəti ələ keçirməyə imkan verə bilər. Bəzi hallarda, insanlar faylı açmağa belə ehtiyac duymurlar, çünki Windows faylının önizləməsi pis bitləri işə salmaq üçün kifayətdir. Qeyd edək ki, Microsoft səhvi etiraf edib, lakin onu ləğv etmək üçün hələ rəsmi düzəliş təqdim etməyib.
"Bu zəiflik hələ də narahat edilməli olan şeylər siyahısında birinci yerdə olmalıdır" deyə SANS Texnologiya İnstitutunun Tədqiqat Dekanı Dr. Yohannes Ullrix SANS həftəlik bülletenində yazıb. "Anti-zərərli proqram təchizatçıları imzaları sürətlə yeniləsələr də, bu zəiflikdən istifadə edə biləcək geniş spektrli istismarlardan qorunmaq üçün kifayət deyillər."
Güzəşt üçün önizləmə
Təhlükə ilk dəfə Yapon təhlükəsizlik tədqiqatçıları tərəfindən mayın sonunda zərərli Word sənədi sayəsində aşkar edilib.
Təhlükəsizlik tədqiqatçısı Kevin Beaumont zəifliyi aşkar etdi və aşkar etdi ki,.doc faylı saxta HTML kodunu yükləmiş, daha sonra Microsoft Diaqnostika Alətini PowerShell kodunu icra etməyə çağırır və bu da öz növbəsində zərərli yükü işə salır.
Windows əməliyyat sistemində nasazlıq olduqda diaqnostik məlumatı toplamaq və göndərmək üçün Microsoft Diaqnostika Alətindən (MSDT) istifadə edir. Tətbiqlər aləti Follina'nın istifadə etməyi hədəflədiyi xüsusi MSDT URL protokolundan (ms-msdt://) istifadə edərək çağırır.
"Bu istismar bir-birinin üstünə yığılmış istismar dağıdır. Lakin, təəssüf ki, onu yenidən yaratmaq asandır və onu antivirus aşkar etmək mümkün deyil", - təhlükəsizlik müdafiəçiləri Twitter-də yazıblar.
Lifewire ilə e-poçt müzakirəsində, İmmersiv Laboratoriyaların Kibertəhlükəsizlik Mühəndisi Nikolas Cemerikic izah etdi ki, Follina unikaldır. O, ofis makrolarından sui-istifadə etmək üçün adi marşrutu seçmir, buna görə də makroları deaktiv etmiş insanlar üçün fəlakətə səbəb ola bilər.
"Uzun illərdir ki, e-poçt fişinqi, zərərli Word sənədləri ilə birlikdə istifadəçinin sisteminə daxil olmaq üçün ən təsirli üsul olub" deyə Cemerikic qeyd edib. "İndi risk Follina hücumu ilə artır, çünki qurban yalnız sənədi açmalıdır və ya bəzi hallarda təhlükəsizlik xəbərdarlıqlarını təsdiqləmək ehtiyacını aradan qaldıraraq, Windows önizləmə paneli vasitəsilə sənədin ilkin baxışına baxmalıdır."
Microsoft, Follina tərəfindən törədilən riskləri az altmaq üçün bəzi düzəliş addımlarını atmağa tələsdi. Huntress şirkətinin baş təhlükəsizlik tədqiqatçısı John Hammond şirkətin səhvlə bağlı dərin dalış bloqunda yazır: "Mövcud olan azaldıcı tədbirlər sənayenin təsirini öyrənməyə vaxtı olmayan qarışıq həllərdir". "Onlar Windows Reyestrində parametrlərin dəyişdirilməsini nəzərdə tutur, bu ciddi işdir, çünki səhv Reyestr daxil edilməsi maşınınızı bloklaya bilər."
Bu zəiflik hələ də narahat edilməli olan şeylər siyahısında birinci yerdə olmalıdır.
Microsoft problemi həll etmək üçün rəsmi yamaq buraxmasa da, 0patch layihəsindən qeyri-rəsmi bir yamaq var.
Düzəlmə üzərindən danışarkən, 0patch layihəsinin həmtəsisçisi Mitja Kolsek yazdı ki, Microsoft Diaqnostik alətini tamamilə söndürmək və ya Microsoft-un remediasiya addımlarını yamaq şəklində kodlaşdırmaq sadə olsa da, layihə fərqli yanaşma, çünki bu yanaşmaların hər ikisi Diaqnostika Alətinin işinə mənfi təsir göstərəcək.
Yeni Başladı
Kibertəhlükəsizlik satıcıları artıq ABŞ və Avropadakı bəzi yüksək profilli hədəflərə qarşı qüsurdan fəal şəkildə istifadə edildiyini görməyə başlayıblar.
Vəhşi təbiətdəki bütün cari istismarlar Office sənədlərindən istifadə etsə də, Follina digər hücum vektorları vasitəsilə sui-istifadə edilə bilər, Cemerikic izah etdi.
Follinanın tez bir zamanda yox olmayacağına niyə inandığını izah edən Cemerikic bildirib ki, hər hansı böyük istismar və ya zəiflikdə olduğu kimi, hakerlər sonda istismar səylərinə kömək etmək üçün alətlər hazırlamağa və buraxmağa başlayırlar. Bu, mahiyyət etibarı ilə bu olduqca mürəkkəb istismarları nöqtə və klik hücumlarına çevirir.
"Hücumçular artıq hücumun necə işlədiyini başa düşməyə və ya bir sıra zəiflikləri birləşdirməyə ehtiyac duymurlar, onların etmələri lazım olan tək şey alətdə "çalışdır" düyməsini sıxmaqdır" dedi Cemerikic.
O iddia etdi ki, son həftə ərzində kibertəhlükəsizlik cəmiyyətinin şahidi olduğu şey budur, çox ciddi istismar daha az bacarıqlı və ya təhsilsiz hücumçuların və ssenarist uşaqların əlinə verilir.
"Zaman irəlilədikcə, bu alətlər nə qədər çox əlçatan olarsa, Follina hədəf maşınları pozmaq üçün zərərli proqramların çatdırılması metodu kimi bir o qədər çox istifadə ediləcək" deyə Cemerikic xəbərdarlıq edərək insanları gecikmədən Windows maşınlarını yamaqlamağa çağırdı.
