Clau per emportar
- S'ha observat en estat salvatge un nou atac de clic zero a Windows que pot comprometre les màquines sense cap acció de l'usuari.
- Microsoft ha reconegut el problema i ha presentat passos de correcció, però l'error encara no té cap pedaç oficial.
- Els investigadors de seguretat veuen que l'error s'explota activament i esperen més atacs en un futur proper.
Els pirates informàtics han trobat una manera d'entrar en un ordinador Windows simplement enviant un fitxer maliciós especialment dissenyat.
Doblat Follina, l'error és bastant greu, ja que podria permetre als pirates informàtics prendre el control total sobre qualsevol sistema Windows només enviant un document de Microsoft Office modificat. En alguns casos, la gent ni tan sols ha d'obrir el fitxer, ja que la vista prèvia del fitxer de Windows és suficient per activar els bits desagradables. En particular, Microsoft ha reconegut l'error, però encara no ha publicat una solució oficial per anul·lar-lo.
"Aquesta vulnerabilitat encara hauria d'estar al capdavant de la llista de coses per preocupar-se", va escriure el doctor Johannes Ullrich, degà d'investigació del SANS Technology Institute, al butlletí setmanal SANS. "Tot i que els proveïdors d'anti-programari maliciós actualitzen ràpidament les signatures, són inadequats per protegir-se de l'ampli ventall d'explotacions que poden aprofitar aquesta vulnerabilitat."
Vista prèvia per comprometre
Els investigadors de seguretat japonesos van detectar per primera vegada l'amenaça a finals de maig per cortesia d'un document de Word maliciós.
L'investigador de seguretat Kevin Beaumont va desplegar la vulnerabilitat i va descobrir que el fitxer.doc carregava una peça falsa de codi HTML, que després demana a l'eina de diagnòstic de Microsoft per executar un codi PowerShell, que al seu torn executa la càrrega útil maliciosa.
Windows utilitza l'eina de diagnòstic de Microsoft (MSDT) per recopilar i enviar informació de diagnòstic quan alguna cosa va malament amb el sistema operatiu. Les aplicacions criden a l'eina mitjançant el protocol especial d'URL MSDT (ms-msdt://), que Follina pretén explotar.
"Aquesta explotació és una muntanya d'explotacions apilades una sobre l' altra. No obstant això, malauradament és fàcil de tornar a crear i no pot ser detectada per l'antivirus", van escriure els defensors de la seguretat a Twitter..
En una discussió per correu electrònic amb Lifewire, Nikolas Cemerikic, enginyer de seguretat cibernètica d'Immersive Labs, va explicar que Follina és únic. No pren la ruta habitual de fer un mal ús de les macros d'oficina, per la qual cosa fins i tot pot causar estralls per a les persones que tenen les macros desactivades.
"Durant molts anys, la pesca de correu electrònic, combinada amb documents de Word maliciosos, ha estat la manera més eficaç d'accedir al sistema d'un usuari", va assenyalar Cemerikic. "El risc ara augmenta amb l'atac de Follina, ja que la víctima només necessita obrir un document o, en alguns casos, visualitzar una vista prèvia del document a través del panell de vista prèvia de Windows, alhora que elimina la necessitat d'aprovar avisos de seguretat."
Microsoft es va afanyar a fer alguns passos de correcció per mitigar els riscos que suposava Follina. "Les mitigacions disponibles són solucions desordenades de les quals la indústria no ha tingut temps d'estudiar l'impacte", va escriure John Hammond, investigador sènior de seguretat de Huntress, al bloc d'immersió profunda de la companyia sobre l'error. "Implica canviar la configuració del Registre de Windows, cosa que és una qüestió seriosa perquè una entrada incorrecta del Registre podria bloquejar la vostra màquina."
Aquesta vulnerabilitat encara hauria d'estar al capdavant de la llista de coses per les quals cal preocupar-se.
Tot i que Microsoft no ha publicat cap pedaç oficial per solucionar el problema, n'hi ha un de no oficial del projecte 0patch.
Parlant de la correcció, Mitja Kolsek, cofundadora del projecte 0patch, va escriure que, tot i que seria senzill desactivar completament l'eina de diagnòstic de Microsoft o codificar els passos de correcció de Microsoft en un pedaç, el projecte va ser per un enfocament diferent, ja que tots dos enfocaments afectarien negativament el rendiment de l'eina de diagnòstic.
Acabat de començar
Els venedors de ciberseguretat ja han començat a veure que la fallada s'aprofita activament contra alguns objectius d' alt perfil als EUA i Europa.
Tot i que tots els exploits actuals en estat salvatge semblen utilitzar documents d'Office, Follina es pot abusar a través d' altres vectors d'atac, va explicar Cemerikic.
Explicant per què creia que Follina no desapareixerà aviat, Cemerikic va dir que, com amb qualsevol explotació o vulnerabilitat important, els pirates informàtics finalment comencen a desenvolupar i llançar eines per ajudar els esforços d'explotació. Això, bàsicament, converteix aquestes explotacions força complexes en atacs apuntant i fent clic.
"Els atacants ja no necessiten entendre com funciona l'atac ni encadenar una sèrie de vulnerabilitats, només han de fer clic a "executar" en una eina", va dir Cemerikic.
Va argumentar que això és exactament el que la comunitat de ciberseguretat ha presenciat durant l'última setmana, amb una explotació molt greu posada a les mans d'atacants menys capaços o sense educació i nens de guió.
"A mesura que avança el temps, com més estiguin disponibles aquestes eines, més s'utilitzarà Follina com a mètode de lliurament de programari maliciós per comprometre les màquines objectiu", va advertir Cemerikic, que va instar la gent a pegar les seves màquines Windows sense demora..
