Cyberprzestępcy odkryli nową lukę w dokumentach Microsoft Word (otwiera się w nowej karcie), która umożliwia im dystrybucję złośliwego oprogramowania (otwiera się w nowej karcie), twierdzą naukowcy.
Odkryta przez eksperta ds. bezpieczeństwa cybernetycznego Kevina Beaumonta i nazywana „Follina”, dziura wykorzystuje narzędzie systemu Windows o nazwie msdt.exe, które jest przeznaczone do uruchamiania różnych pakietów rozwiązywania problemów w systemie Windows.
Według raportu, gdy ofiara pobiera uzbrojony plik Word, nie musi go nawet uruchamiać, wystarczy wyświetlić podgląd w Eksploratorze Windows, aby narzędzie mogło zostać wykorzystane (musi to być jednak plik RTF).
Nadużywając tego narzędzia, osoby atakujące mogą nakazać docelowemu punktowi końcowemu wywołanie pliku HTML ze zdalnego adresu URL. Atakujący wybrali formaty xmlcom, prawdopodobnie próbując ukryć się za podobnie wyglądającą, ale legalną domeną openxmlformats.org, która jest używana w większości dokumentów programu Word, sugerują badacze.
rozpoznać zagrożenie
Plik HTML zawiera wiele „śmieci”, które przesłaniają jego prawdziwy cel: skrypt, który pobiera i uruchamia ładunek.
Raport prawie nic nie mówi o faktycznym ładunku, co utrudnia określenie ostatecznej fazy gry cyberprzestępcy. Mówi, że pełny łańcuch wydarzeń związanych z próbkami, które zostały upublicznione, nie jest jeszcze znany.
Po opublikowaniu ustaleń Microsoft potwierdził zagrożenie, mówiąc, że istnieje luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu, „kiedy MSDT jest wywoływane przy użyciu protokołu URL z aplikacji wywołującej, takiej jak Word”.
„Atakujący, któremu uda się wykorzystać tę lukę, może wykonać dowolny kod z uprawnieniami aplikacji wywołującej. Atakujący może wtedy instalować programy, wyświetlać, modyfikować lub usuwać dane lub tworzyć nowe konta w ramach autoryzowanych przez uprawnienia użytkownika.
Podczas gdy niektóre programy antywirusowe (otwiera się w nowej karcie), takie jak Sophos, mogą już wykryć ten atak, Micorosft udostępnił również metodę łagodzenia, w tym wyłączenie protokołu MSDT URL.
Chociaż uniemożliwi to uruchamianie narzędzi do rozwiązywania problemów jako łączy, nadal można uzyskać do nich dostęp za pośrednictwem aplikacji Uzyskaj pomoc i ustawień systemowych. Aby włączyć to obejście, administratorzy muszą wykonać następujące czynności:
Uruchom wiersz polecenia jako administrator.
Aby wykonać kopię zapasową klucza rejestru, uruchom polecenie „reg export HKEY_CLASSES_ROOTms-msdt filename”
Uruchom polecenie „reg delete HKEY_CLASSES_ROOTms-msdt /f”.