ซื้อกลับบ้านที่สำคัญ
- การโจมตีแบบ zero-click แบบใหม่ของ Windows ที่สามารถประนีประนอมเครื่องโดยไม่ต้องดำเนินการใด ๆ ของผู้ใช้ได้รับการสังเกตในป่า
- Microsoft รับทราบปัญหาและนำขั้นตอนการแก้ไขออก แต่บั๊กยังไม่มีแพตช์อย่างเป็นทางการ
- นักวิจัยด้านความปลอดภัยเห็นว่าบั๊กกำลังถูกโจมตีและคาดว่าจะมีการโจมตีมากขึ้นในอนาคตอันใกล้
แฮกเกอร์พบวิธีบุกเข้าไปในคอมพิวเตอร์ Windows เพียงแค่ส่งไฟล์ที่เป็นอันตรายที่สร้างขึ้นมาเป็นพิเศษ
ขนานนามว่า Follina บั๊กนี้ค่อนข้างร้ายแรง เนื่องจากอาจทำให้แฮกเกอร์สามารถควบคุมระบบ Windows ใดๆ ได้อย่างสมบูรณ์เพียงแค่ส่งเอกสาร Microsoft Office ที่แก้ไขแล้ว ในบางกรณี ผู้ใช้ไม่จำเป็นต้องเปิดไฟล์ด้วยซ้ำ เพราะการแสดงตัวอย่างไฟล์ของ Windows ก็เพียงพอแล้วที่จะกระตุ้นบิตที่น่ารังเกียจ โดยเฉพาะอย่างยิ่ง Microsoft ได้รับทราบข้อบกพร่องแล้ว แต่ยังไม่ได้เผยแพร่การแก้ไขอย่างเป็นทางการเพื่อทำให้เป็นโมฆะ
"ช่องโหว่นี้ควรอยู่ในอันดับต้น ๆ ของสิ่งที่ต้องกังวล" Dr. Johannes Ullrich คณบดีฝ่ายวิจัยของ SANS Technology Institute เขียนในจดหมายข่าวรายสัปดาห์ของ SANS "ในขณะที่ผู้จำหน่ายโปรแกรมป้องกันมัลแวร์กำลังอัปเดตลายเซ็นอย่างรวดเร็ว แต่ก็ไม่เพียงพอที่จะป้องกันการเจาะช่องโหว่ต่างๆ ที่อาจใช้ประโยชน์จากช่องโหว่นี้"
ดูตัวอย่างเพื่อประนีประนอม
ภัยคุกคามถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยของญี่ปุ่นเมื่อปลายเดือนพฤษภาคม โดยได้รับความอนุเคราะห์จากเอกสาร Word ที่เป็นอันตราย
นักวิจัยด้านความปลอดภัย Kevin Beaumont เปิดเผยช่องโหว่และพบว่าไฟล์.doc โหลดโค้ด HTML ปลอม จากนั้นเรียกใช้ Microsoft Diagnostics Tool เพื่อรันโค้ด PowerShell ซึ่งจะรันเพย์โหลดที่เป็นอันตราย
Windows ใช้เครื่องมือวินิจฉัยของ Microsoft (MSDT) เพื่อรวบรวมและส่งข้อมูลการวินิจฉัยเมื่อมีบางอย่างผิดปกติกับระบบปฏิบัติการ แอปเรียกใช้เครื่องมือโดยใช้โปรโตคอล MSDT URL พิเศษ (ms-msdt://) ซึ่ง Follina ตั้งเป้าที่จะใช้ประโยชน์
"การหาประโยชน์นี้เป็นภูเขาของการหาประโยชน์ที่ซ้อนทับกัน อย่างไรก็ตาม น่าเสียดายที่การสร้างใหม่และไม่สามารถตรวจพบโดยแอนตี้ไวรัสได้" ผู้สนับสนุนด้านความปลอดภัยเขียนบน Twitter
ในการสนทนาทางอีเมลกับ Lifewire Nikolas Cemerikic วิศวกรความปลอดภัยทางไซเบอร์ที่ Immersive Labs อธิบายว่า Follina มีเอกลักษณ์เฉพาะตัว ไม่ใช้เส้นทางปกติของการใช้มาโครของสำนักงานในทางที่ผิด ซึ่งเป็นสาเหตุที่ทำให้ผู้ที่ปิดใช้งานมาโครเสียหายได้
"เป็นเวลาหลายปีที่ฟิชชิ่งอีเมล รวมกับเอกสาร Word ที่เป็นอันตราย เป็นวิธีที่มีประสิทธิภาพมากที่สุดในการเข้าถึงระบบของผู้ใช้" Cemerikic ชี้ "ตอนนี้ความเสี่ยงเพิ่มขึ้นจากการโจมตี Follina เนื่องจากเหยื่อจำเป็นต้องเปิดเอกสารเท่านั้น หรือในบางกรณี ดูตัวอย่างเอกสารผ่านบานหน้าต่างแสดงตัวอย่าง Windows ในขณะที่ไม่จำเป็นต้องอนุมัติคำเตือนด้านความปลอดภัย"
Microsoft ได้นำขั้นตอนการแก้ไขบางอย่างออกอย่างรวดเร็วเพื่อลดความเสี่ยงที่เกิดจาก Follina John Hammond นักวิจัยด้านความปลอดภัยอาวุโสของ Huntress กล่าวว่า "การบรรเทาปัญหาที่มีอยู่เป็นวิธีแก้ปัญหาที่ยุ่งยากซึ่งอุตสาหกรรมไม่มีเวลาศึกษาผลกระทบ" กล่าวในบล็อกเจาะลึกของบริษัทเกี่ยวกับข้อบกพร่อง "สิ่งเหล่านี้เกี่ยวข้องกับการเปลี่ยนแปลงการตั้งค่าใน Windows Registry ซึ่งเป็นธุรกิจที่จริงจังเพราะรายการ Registry ที่ไม่ถูกต้องอาจทำให้เครื่องของคุณเสียหายได้"
ช่องโหว่นี้ควรอยู่ที่ด้านบนของรายการสิ่งที่ต้องกังวล
ในขณะที่ Microsoft ยังไม่ได้ออกแพตช์อย่างเป็นทางการเพื่อแก้ไขปัญหา แต่ก็มีแพตช์ที่ไม่เป็นทางการจากโปรเจ็กต์ 0patch
ในการพูดถึงการแก้ไขนั้น Mitja Kolsek ผู้ร่วมก่อตั้งโปรเจ็กต์ 0patch เขียนว่า แม้ว่าการปิดใช้งานเครื่องมือวินิจฉัยของ Microsoft ทั้งหมดจะเป็นเรื่องง่าย หรือเพื่อประมวลขั้นตอนการแก้ไขของ Microsoft ลงในโปรแกรมแก้ไข แต่โครงการก็ดำเนินไป แนวทางที่แตกต่าง เนื่องจากทั้งสองวิธีนี้จะส่งผลเสียต่อประสิทธิภาพของเครื่องมือวินิจฉัย
มันเพิ่งเริ่มต้น
ผู้ให้บริการความปลอดภัยทางไซเบอร์เริ่มเห็นข้อบกพร่องที่ถูกใช้อย่างแข็งขันกับเป้าหมายระดับสูงในสหรัฐอเมริกาและยุโรป
แม้ว่าการหาประโยชน์ทั้งหมดในปัจจุบันในป่าดูเหมือนจะใช้เอกสาร Office แต่ Follina อาจถูกทำร้ายผ่านเวกเตอร์การโจมตีอื่นๆ Cemrikic อธิบาย
อธิบายว่าทำไมเขาถึงเชื่อว่า Follina จะไม่หายไปในเร็วๆ นี้ Cemerikic กล่าวว่า เช่นเดียวกับการเอารัดเอาเปรียบหรือจุดอ่อนที่สำคัญใด ๆ ในที่สุดแฮกเกอร์ก็เริ่มพัฒนาและปล่อยเครื่องมือเพื่อช่วยในความพยายามแสวงหาประโยชน์สิ่งนี้จะเปลี่ยนช่องโหว่ที่ค่อนข้างซับซ้อนเหล่านี้เป็นการโจมตีแบบชี้แล้วคลิก
"ผู้โจมตีไม่จำเป็นต้องเข้าใจว่าการโจมตีทำงานหรือเชื่อมโยงชุดของช่องโหว่อีกต่อไป สิ่งที่พวกเขาต้องทำคือคลิก 'เรียกใช้' บนเครื่องมือ" Cemerikic กล่าว
เขาโต้เถียงว่านี่คือสิ่งที่ชุมชนการรักษาความปลอดภัยในโลกไซเบอร์ได้เห็นในช่วงสัปดาห์ที่ผ่านมา โดยมีการเอาเปรียบที่ร้ายแรงมากไปอยู่ในมือของผู้โจมตีที่มีความสามารถน้อยหรือไม่มีการศึกษาและเด็กสคริปต์
"ยิ่งมีเครื่องมือเหล่านี้มากขึ้นเท่าไร Follina จะถูกใช้เป็นวิธีการส่งมัลแวร์เพื่อประนีประนอมเครื่องเป้าหมายมากขึ้นเท่านั้น" Cemerikic เตือน โดยกระตุ้นให้ผู้คนแพทช์เครื่อง Windows ของตนโดยไม่ชักช้า