Asosiy takliflar
- Yovvoyi tabiatda hech qanday foydalanuvchi harakatisiz mashinalarni buzishi mumkin boʻlgan yangi Windows hujumi kuzatildi.
- Microsoft muammoni tan oldi va tuzatish choralarini koʻrdi, ammo xatoning rasmiy yamogʻi hali yoʻq.
- Xavfsizlik boʻyicha tadqiqotchilar xatolikdan faol foydalanilayotganini koʻrishmoqda va yaqin kelajakda yana hujumlarni kutishmoqda.
Hackerlar Windows kompyuteriga maxsus yaratilgan zararli faylni yuborish orqali kirish yoʻlini topdilar.
Follina deb nomlangan, xato juda jiddiy, chunki u xakerlarga oʻzgartirilgan Microsoft Office hujjatini yuborish orqali istalgan Windows tizimini toʻliq nazorat qilish imkonini berishi mumkin. Ba'zi hollarda, odamlar hatto faylni ochishlari shart emas, chunki Windows fayllarini oldindan ko'rish yomon bitlarni ishga tushirish uchun etarli. Shunisi e'tiborga loyiqki, Microsoft xatolikni tan oldi, lekin uni bekor qilish uchun hali rasmiy tuzatishni chiqarmadi.
"Ushbu zaiflik hali ham tashvishlanadigan narsalar ro'yxatida birinchi o'rinda turishi kerak", deb yozadi SANS texnologiya instituti tadqiqot dekani doktor Yoxannes Ullrix, SANS haftalik axborotnomasida. "Zararli dasturiy ta'minot ishlab chiqaruvchilari imzolarni tezda yangilayotgan bo'lsada, ular ushbu zaiflikdan foydalanishi mumkin bo'lgan keng ko'lamli ekspluatatsiyalardan himoyalanish uchun etarli emas."
Murosaga kelish uchun oldindan koʻrish
Xavf birinchi marta yaponiyalik xavfsizlik tadqiqotchilari tomonidan may oyining oxirida zararli Word hujjati orqali aniqlangan.
Xavfsizlik boʻyicha tadqiqotchi Kevin Bomont zaiflikni ochib berdi va.doc faylida soxta HTML kod boʻlagi yuklanganini aniqladi, soʻngra Microsoft Diagnostics Tool PowerShell kodini ishga tushiradi, bu esa oʻz navbatida zararli yukni ishga tushiradi.
Windows Microsoft Diagnostic Tool (MSDT) dan operatsion tizimda biror narsa notoʻgʻri ketganda diagnostika maʼlumotlarini yigʻish va yuborish uchun foydalanadi. Ilovalar asbobni Follina foydalanishni maqsad qilgan maxsus MSDT URL protokoli (ms-msdt://) yordamida chaqiradi.
"Ushbu ekspluatatsiya bir-birining ustiga toʻplangan ekspluatatsiyalar togʻidir. Biroq, afsuski, uni qayta yaratish oson va uni antivirus tomonidan aniqlab boʻlmaydi ", deb yozishdi xavfsizlik himoyachilari Twitterda.
Lifewire bilan elektron pochta orqali suhbatda Immersive Labs kiberxavfsizlik muhandisi Nikolas Cemerikic Follina noyob ekanligini tushuntirdi. Bu ofis makroslaridan noto'g'ri foydalanishning odatiy yo'lini tanlamaydi, shuning uchun u hatto makrolarni o'chirib qo'ygan odamlar uchun ham halokatga olib kelishi mumkin.
"Ko'p yillar davomida elektron pochta orqali fishing, zararli Word hujjatlari bilan birgalikda foydalanuvchi tizimiga kirishning eng samarali usuli bo'lib kelgan", deb ta'kidladi Cemerikic. "Follina hujumi xavfi endi kuchaydi, chunki jabrlanuvchi faqat hujjatni ochishi yoki ba'zi hollarda Windows oldindan ko'rish paneli orqali hujjatning oldindan ko'rishini ko'rishi kerak, shu bilan birga xavfsizlik ogohlantirishlarini tasdiqlash zaruriyatini olib tashlaydi."
Microsoft Follina tomonidan yuzaga keladigan xavflarni yumshatish uchun tezda tuzatish choralarini ko'rdi. "Mavjud bo'lgan yumshatish choralari sanoatning ta'sirini o'rganishga ulgurmagan chalkash echimlardir", deb yozadi Huntress kompaniyasining xavfsizlik bo'yicha katta tadqiqotchisi Jon Hammond kompaniyaning xato haqida chuqur sho'ng'igan blogida. "Ular Windows registridagi sozlamalarni o'zgartirishni o'z ichiga oladi, bu jiddiy ishdir, chunki noto'g'ri ro'yxatdan o'tish kompyuteringizni bloklashi mumkin."
Bu zaiflik hali ham tashvishlanadigan narsalar roʻyxatida birinchi oʻrinda turishi kerak.
Microsoft muammoni hal qilish uchun rasmiy yamoq chiqarmagan boʻlsa-da, 0patch loyihasidan norasmiy tuzatma mavjud.
Tuzatish haqida gapirar ekan, 0patch loyihasi asoschisi Mitja Kolsekning yozishicha, Microsoft Diagnostic vositasini butunlay oʻchirib qoʻyish yoki Microsoft-ning tuzatish bosqichlarini yamoqqa kodlash oson boʻlsa-da, loyiha boshqa yondashuv, chunki bu ikkala yondashuv ham Diagnostika vositasining ishlashiga salbiy ta'sir qiladi.
Bu endigina boshlandi
Kiberxavfsizlik sotuvchilari bu kamchilikdan AQSH va Yevropadagi ayrim yuqori darajadagi maqsadlarga nisbatan faol foydalanilayotganini allaqachon koʻrishgan.
Garchi yovvoyi tabiatdagi barcha joriy ekspluatatsiyalar Office hujjatlaridan foydalansa-da, Follina boshqa hujum vektorlari orqali suiiste'mol qilinishi mumkin, deb tushuntirdi Cemerikic.
Follinaning tez orada ketmasligiga nima uchun ishonishini tushuntirar ekan, Cemerikich, har qanday katta ekspluatatsiya yoki zaiflikda bo'lgani kabi, xakerlar ham oxir-oqibat ekspluatatsiya qilishga yordam beradigan vositalarni ishlab chiqish va chiqarishni boshlashlarini aytdi. Bu juda murakkab ekspluatatsiyalarni nuqta va bosish hujumlariga aylantiradi.
"Hujumchilar endi hujum qanday ishlashini tushunishlari yoki bir qator zaifliklarni bogʻlashlari shart emas, ular faqat asbobdagi "ishlash" tugmasini bosishlari kerak," dedi Cemerikic.
Uning ta'kidlashicha, o'tgan haftada kiberxavfsizlik hamjamiyatining guvohi bo'lgan narsaga juda jiddiy ekspluatatsiya kamroq qobiliyatli yoki o'qimagan hujumchilar va ssenariy bolalari qo'llanilgan.
"Vaqt o'tgan sayin, bu vositalar qanchalik ko'p mavjud bo'lsa, Follina maqsadli mashinalarni buzish uchun zararli dasturlarni etkazib berish usuli sifatida shunchalik ko'p foydalaniladi", - deya ogohlantirdi Cemerikic va odamlarni Windows kompyuterlarini kechiktirmasdan tuzatishga chaqirdi.
