Önemli Bilgiler
- Vahşi ortamda herhangi bir kullanıcı eylemi olmadan makineleri tehlikeye atabilecek yeni bir Windows sıfır tıklama saldırısı gözlemlendi.
- Microsoft sorunu kabul etti ve düzeltme adımlarını yayınladı, ancak hatanın henüz resmi bir düzeltme eki yok.
- Güvenlik araştırmacıları, hatanın aktif olarak istismar edildiğini görüyor ve yakın gelecekte daha fazla saldırı bekliyor.
Bilgisayar korsanları, yalnızca özel hazırlanmış bir kötü amaçlı dosya göndererek bir Windows bilgisayarına girmenin bir yolunu buldular.
Dubbed Follina, bilgisayar korsanlarının yalnızca değiştirilmiş bir Microsoft Office belgesi göndererek herhangi bir Windows sistemi üzerinde tam kontrol sahibi olmalarına izin verebileceğinden, hata oldukça ciddi. Bazı durumlarda, Windows dosya önizlemesi kötü bitleri tetiklemek için yeterli olduğundan, insanların dosyayı açmasına bile gerek yoktur. Özellikle, Microsoft hatayı kabul etti, ancak onu geçersiz kılmak için henüz resmi bir düzeltme yayınlamadı.
SANS Teknoloji Enstitüsü Araştırma Dekanı Dr. Johannes Ullrich, haftalık SANS bülteninde "Bu güvenlik açığı hala endişe edilecek şeyler listesinin başında olmalı," diye yazdı. "Kötü amaçlı yazılımdan koruma sağlayıcıları imzaları hızla güncellerken, bu güvenlik açığından yararlanabilecek çok çeşitli açıklardan yararlanmaya karşı koruma sağlamada yetersizler."
Uzlaşmak için Önizleme
Tehdit ilk olarak Japon güvenlik araştırmacıları tarafından kötü niyetli bir Word belgesinin izniyle Mayıs ayının sonuna doğru fark edildi.
Güvenlik araştırmacısı Kevin Beaumont, güvenlik açığını ortaya çıkardı ve.doc dosyasının sahte bir HTML kodu parçası yüklediğini ve ardından Microsoft Tanı Aracı'nı bir PowerShell kodunu yürütmeye çağırdığını ve bunun da kötü amaçlı yükü çalıştırdığını keşfetti.
Windows, işletim sisteminde bir şeyler ters gittiğinde tanılama bilgilerini toplamak ve göndermek için Microsoft Tanı Aracı'nı (MSDT) kullanır. Uygulamalar, Follina'nın yararlanmayı amaçladığı özel MSDT URL protokolünü (ms-msdt://) kullanarak aracı çağırır.
Twitter'da güvenlik savunucuları, "Bu açık, birbiri üzerine yığılmış bir açıklardan oluşan bir dağdır. Ancak, ne yazık ki yeniden oluşturulması kolaydır ve anti-virüs tarafından tespit edilemez" diye yazdı.
Lifewire ile yaptığı bir e-posta tartışmasında, Immersive Labs Siber Güvenlik Mühendisi Nikolas Cemerikic, Follina'nın benzersiz olduğunu açıkladı. Ofis makrolarını kötüye kullanma gibi olağan bir yol izlemez, bu yüzden makroları devre dışı bırakan kişiler için hasara bile yol açabilir.
"Uzun yıllar boyunca, kötü amaçlı Word belgeleriyle birlikte e-posta kimlik avı, bir kullanıcının sistemine erişmenin en etkili yolu oldu" dedi Cemerikiç. "Kurbanın yalnızca bir belge açması veya bazı durumlarda, güvenlik uyarılarını onaylama gereğini ortadan kaldırırken Windows önizleme bölmesi aracılığıyla belgenin bir önizlemesini görüntülemesi gerektiğinden, risk şimdi Follina saldırısıyla daha da artıyor."
Microsoft, Follina'nın oluşturduğu riskleri az altmak için bazı iyileştirme adımlarını hızlı bir şekilde ortaya koydu. Huntress'te kıdemli bir güvenlik araştırmacısı olan John Hammond, şirketin hatayla ilgili derin blogunda "Mevcut olan hafifletmeler, endüstrinin etkisini incelemek için zaman bulamadığı dağınık geçici çözümler" diye yazdı. "Windows Kayıt Defteri'ndeki ayarları değiştirmeyi içeriyorlar, bu ciddi bir iştir çünkü yanlış bir Kayıt Defteri girişi makinenizi bozabilir."
Bu güvenlik açığı hala endişelenecek şeyler listesinin başında olmalı.
Microsoft sorunu çözmek için resmi bir yama yayınlamamış olsa da 0patch projesinden resmi olmayan bir yama var.
Düzeltme hakkında konuşurken, 0patch projesinin kurucu ortağı Mitja Kolsek, Microsoft Teşhis aracını tamamen devre dışı bırakmanın veya Microsoft'un iyileştirme adımlarını bir yamaya dönüştürmenin kolay olsa da, projenin bu yaklaşımların her ikisi de Teşhis Aracının performansını olumsuz etkileyeceğinden farklı bir yaklaşım.
Daha Yeni Başladı
Siber güvenlik sağlayıcıları, kusurun ABD ve Avrupa'daki bazı yüksek profilli hedeflere karşı aktif olarak istismar edildiğini şimdiden görmeye başladılar.
Vahşi doğadaki tüm mevcut istismarlar Office belgelerini kullanıyor gibi görünse de, Cemerikic, Follina'nın diğer saldırı vektörleri aracılığıyla kötüye kullanılabileceğini açıkladı.
Follina'nın yakın zamanda ortadan kalkmayacağına neden inandığını açıklayan Cemerikic, herhangi bir büyük istismar veya güvenlik açığında olduğu gibi, bilgisayar korsanlarının sonunda istismar çabalarına yardımcı olacak araçlar geliştirmeye ve yayınlamaya başladığını söyledi. Bu aslında bu oldukça karmaşık istismarları işaretle ve tıkla saldırılarına dönüştürür.
"Saldırganların artık saldırının nasıl çalıştığını anlamalarına veya bir dizi güvenlik açığını zincirlemelerine gerek yok, tek yapmaları gereken bir araçta 'çalıştır'ı tıklamak" dedi Cemerikic.
Siber güvenlik camiasının geçen hafta tam olarak buna tanık olduğunu ve çok ciddi bir istismarın daha az yetenekli veya eğitimsiz saldırganların ve senaryocu çocukların eline geçtiğini savundu.
"Zaman ilerledikçe, bu araçlar daha fazla kullanılabilir hale geldikçe, Follina hedef makineleri tehlikeye atmak için bir kötü amaçlı yazılım dağıtım yöntemi olarak daha fazla kullanılacak," diye uyardı Cemerikiç, insanları Windows makinelerine gecikmeden yama yapmaya çağırdı.