A kiberbiztonsági kutatók felfedeztek egy új Follina névre keresztelt sebezhetőséget a Windows Microsoft Office-ban, mely képes kárt okozni azoknak a felhasználóknak, akik valamilyen rosszindulatú Word dokumentum birtokába kerülnek.
Egy Twitter beszélgetésben, az adathalászat ellen specializálódott Wallet Guard bejelentette, hogy a biztonsági rés lehetővé teheti a hackerek számára, hogy irányításuk alá vegyék az áldozat számítógépét, anélkül, hogy magát a rosszindulatú fájlt megnyitották volna.
🚨 CRITICAL ALERT
— Wallet Guard 🔜 Consensus (@wallet_guard) June 1, 2022
A severe 0-day vulnerability called #Follina has been exposed (since May 27th) in MS Word Documents.
It could allow hackers to take full control of your computer, in some cases WITHOUT even opening the file. 🧵
Igazából a támadások alapjául szolgáló biztonsági rés nem túl bonyolult, és a vírusirtók sem észlelhetik.
“Ez a kizsákmányolás a jéghegy csúcsa. Sajnos könnyen újra létrehozhtaó és a vírusírtók sem képesek észlelni”
-mondta a Wallet Guard.
Hogyan működik a Follina?
A támadás úgy nyílvánul meg, hogy a káros Microsoft Office dokumentumokat használja ki a Microsoft Diagnostics Tool (MSDT) megnyitásához. A támadók mindezt adathalászatra vagy a közösség manipulálására használhatják fel, amint a felhasználók megnyitják a csatolt fájlt. Innentől kezdve pedig a csalók hozzáférhetnek az áldozat teljes rendszeréhez.
Válaszul a sérülékenységre a Microsoft korábban útmutatást is tett közé a CVE-2022 30190 jelzésű biztonsági frissítés mellett. Egy blogbejegyzésben a Microsoft elismerte, hogy a támadók sikeresen telepíthetik a programokat, megtekinthetik, módosíthatják, vagy törölhetik az adatokat, illetve fiókokat is hozhatnak létre.
A Microsoft felhő alapú védelmi szolgáltatás-át (Microsoft Cloud-Delivered Protection) használók nagy valószínűséggel biztonságban maradnak. A kutatók azonban az MSDT URL Protocol letiltását javasolták megoldásként, hogy megakadályozzák a hibás linkek hivatkozásként történő elindítását.
A biztonság megőrzése érdekében a Wallet Guard azt is javasolta, hogy a Microsoft Defender Attack Surface Reduction (ASR) felhasználói váltsák át a”Block all Office Applications from creating child processes” opciót “Block Mode”-ra.
A fejlesztők arra figyelmeztettek, hogy ne töltsenek le ismeretlen .doc, .docx és .rtf fájlokat, hanem inkább PDF vagy Google dokumentumokat használjanak.
Ezenkívül a fenyegetést az Egyesült Államok kormánya is elismerte a Kiberbiztonsági és Infrastruktúrabiztonsági Ügynökségen (CISA) keresztül.
A sebezhetőséget azután észlelték, hogy egy nemrégiben megjelent jelentés felfedte, hogy 2021-ben a Microsoft-ot ért támadások száma 5%-kal 1 212-re csökkent a 2 020-ban tapasztalt 1 268-ról.