Mga Key Takeaway
- Isang nobelang Windows zero-click na pag-atake na maaaring ikompromiso ang mga makina nang walang anumang aksyon ng user ang naobserbahan sa ligaw.
- Kinilala ng Microsoft ang isyu at naglabas ng mga hakbang sa remediation, ngunit wala pang opisyal na patch ang bug.
- Nakikita ng mga mananaliksik sa seguridad ang bug na aktibong pinagsamantalahan at inaasahan ang higit pang pag-atake sa malapit na hinaharap.
Nakahanap ang mga hacker ng paraan upang makapasok sa isang Windows computer sa pamamagitan lamang ng pagpapadala ng isang espesyal na ginawang malisyosong file.
Dubbed Follina, medyo malubha ang bug dahil maaari nitong payagan ang mga hacker na ganap na kontrolin ang anumang Windows system sa pamamagitan lamang ng pagpapadala ng binagong dokumento ng Microsoft Office. Sa ilang mga kaso, hindi na kailangang buksan ng mga tao ang file, dahil sapat na ang preview ng Windows file upang ma-trigger ang mga masasamang bahagi. Kapansin-pansin, kinilala ng Microsoft ang bug ngunit hindi pa naglalabas ng opisyal na pag-aayos upang mapawalang-bisa ito.
"Ang kahinaang ito ay dapat na nasa tuktok pa rin ng listahan ng mga bagay na dapat ipag-alala," isinulat ni Dr. Johannes Ullrich, Dean of Research para sa SANS Technology Institute, sa lingguhang newsletter ng SANS. "Habang ang mga anti-malware vendor ay mabilis na nag-a-update ng mga lagda, hindi sapat ang mga ito upang maprotektahan laban sa malawak na hanay ng mga pagsasamantala na maaaring samantalahin ang kahinaang ito."
Preview to Compromise
Ang banta ay unang nakita ng mga Japanese security researcher noong katapusan ng Mayo sa kagandahang-loob ng isang malisyosong dokumento ng Word.
Ibinukas ng tagapagpananaliksik ng seguridad na si Kevin Beaumont ang kahinaan at natuklasan ang.doc file na nag-load ng isang pekeng piraso ng HTML code, na pagkatapos ay tumatawag sa Microsoft Diagnostics Tool upang magsagawa ng PowerShell code, na siya namang nagpapatakbo ng malisyosong payload.
Ginagamit ng Windows ang Microsoft Diagnostic Tool (MSDT) upang mangolekta at magpadala ng diagnostic na impormasyon kapag may nangyaring mali sa operating system. Tinatawag ng mga app ang tool gamit ang espesyal na MSDT URL protocol (ms-msdt://), na nilalayon ni Follina na samantalahin.
"Ang pagsasamantalang ito ay isang bundok ng mga pagsasamantalang nakasalansan sa isa't isa. Gayunpaman, sa kasamaang-palad, madali itong muling likhain at hindi matukoy ng anti-virus," isinulat ng mga tagapagtaguyod ng seguridad sa Twitter.
Sa isang email na talakayan kasama ang Lifewire, ipinaliwanag ni Nikolas Cemerikic, Cyber Security Engineer sa Immersive Labs, na kakaiba ang Follina. Hindi ito tumatagal ng karaniwang ruta ng maling paggamit ng mga office macro, kaya naman maaari pa itong magdulot ng kalituhan para sa mga taong hindi pinagana ang mga macro.
"Sa loob ng maraming taon, ang email phishing, na sinamahan ng mga nakakahamak na dokumento ng Word, ang naging pinakamabisang paraan upang makakuha ng access sa system ng isang user," itinuro ni Cemerikic. "Ang panganib ngayon ay pinapataas ng pag-atake ng Follina, dahil kailangan lang ng biktima na magbukas ng isang dokumento, o sa ilang mga kaso, tingnan ang isang preview ng dokumento sa pamamagitan ng Windows preview pane, habang inaalis ang pangangailangang aprubahan ang mga babala sa seguridad."
Ang Microsoft ay mabilis na naglabas ng ilang hakbang sa remediation para mabawasan ang mga panganib na dulot ng Follina. "Ang mga pagpapagaan na magagamit ay magulo na mga workaround na ang industriya ay hindi nagkaroon ng oras upang pag-aralan ang epekto ng," isinulat ni John Hammond, isang senior security researcher sa Huntress, sa malalim na dive blog ng kumpanya sa bug. "Kasangkot ang mga ito sa pagbabago ng mga setting sa Windows Registry, na isang seryosong negosyo dahil ang maling entry sa Registry ay maaaring ma-brick ang iyong makina."
Ang kahinaang ito ay dapat na nasa tuktok pa rin ng listahan ng mga bagay na dapat ipag-alala.
Bagama't hindi naglabas ng opisyal na patch ang Microsoft upang ayusin ang isyu, mayroong hindi opisyal mula sa proyektong 0patch.
Pag-usapan ang pag-aayos, isinulat ni Mitja Kolsek, co-founder ng 0patch project, na bagama't madaling i-disable ang Microsoft Diagnostic tool nang buo o i-codify ang mga hakbang sa remediation ng Microsoft sa isang patch, napunta ang proyekto para sa ibang diskarte dahil parehong negatibong makakaapekto ang mga diskarteng ito sa performance ng Diagnostic Tool.
Nagsisimula pa lang
Sinimulan na ng mga vendor ng cybersecurity na makita ang kapintasan na aktibong pinagsamantalahan laban sa ilang high-profile na target sa US at Europe.
Bagaman ang lahat ng kasalukuyang pagsasamantala sa ligaw ay tila gumagamit ng mga dokumento ng Office, ang Follina ay maaaring abusuhin sa pamamagitan ng iba pang attack vector, paliwanag ni Cemerikic.
Ipinapaliwanag kung bakit naniniwala siyang hindi mawawala si Follina anumang oras sa lalong madaling panahon, sinabi ng Cemerikic na, tulad ng anumang pangunahing pagsasamantala o kahinaan, ang mga hacker ay magsisimulang bumuo at maglabas ng mga tool upang tulungan ang mga pagsisikap sa pagsasamantala. Talagang ginagawa nitong mga point-and-click na pag-atake ang medyo kumplikadong pagsasamantalang ito.
"Hindi na kailangang maunawaan ng mga attacker kung paano gumagana ang pag-atake o pagsama-samahin ang isang serye ng mga kahinaan, ang kailangan lang nilang gawin ay i-click ang 'run' sa isang tool," sabi ni Cemerikic.
Nangatuwiran siya na ito mismo ang nasaksihan ng komunidad ng cybersecurity sa nakalipas na linggo, na may napakaseryosong pagsasamantala na inilagay sa mga kamay ng hindi gaanong kakayahan o hindi nakapag-aral na mga umaatake at script kiddies.
"Habang tumatagal, mas nagiging available ang mga tool na ito, mas gagamitin ang Follina bilang paraan ng paghahatid ng malware upang ikompromiso ang mga target na machine," babala ng Cemerikic, na hinihimok ang mga tao na i-patch ang kanilang mga Windows machine nang walang pagkaantala.