positivetechnologies
positivetechnologies Блог компании Positive Technologies
04 июня 2022, 11:43

Гостеприимная Follina. Как защититься от опасной уязвимости нулевого дня?

Хакеры могут проникать на компьютеры пользователей через офисные документы.

На этой неделе стало известно, что независимый исследователь информационной безопасности Nao_sec выявил в Windows уязвимость нулевого дня.

Уязвимостью нулевого дня называется проблема безопасности, которую обнаружили злоумышленники (или исследователи) еще до того, как о ней стало известно производителю программы. Уязвимость нулевого дня – настоящая находка для киберздлодеев. Ведь для такой «дыры» пока еще не выпущены патчи, и ее можно успешно использовать в своих преступных целях.

Описание проблемы

Обнаруженная исследователем проблема безопасности заключается в неправильной работе инструмента Microsoft Windows Support Diagnostic Tool (MSDT). Особенности MSDT позволяют хакерам проникать на компьютеры пользователей через офисные документы. Уязвимость получила название Follina и идентификатор CVE-2022-30190. «Дыра» является довольно опасной — оценивается в 7,8 балла из 10.

Кого затрагивает проблема

Уязвимость затрагивает пользователей, у которых установлен Microsoft Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus. Проблеме подвержены все поддерживаемые Microsoft версии Windows, включая серверные.

Примерный сценарий атаки

Злоумышленники создают вредоносный документ Word, направляют его пользователю по электронной почте, и с помощью мошеннических уловок заставляют открыть хакерский «подарочек». Злонамеренный код приходит в действие, и гостеприимная Фоллина открывает перед киберзлодеями двери на компьютер жертвы.

Что может сделать злоумышленник

В случае успешной эксплуатации уязвимости хакер получает возможность удаленно выполнить произвольный код с привилегиями пользователя, открывшего вредоносный документ. Например, если пользователь имел права администратора, злоумышленник может полностью перехватить управление над устройством жертвы и безнаказанно творить всяческий беспредел: устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи.

Follina в дикой природе

Исследователи безопасности выяснили, что киберпреступники про Фоллину знают и активно применяют ее в реальных атаках. Данная уязвимость уже использовалась для кибератак на пользователей из России, Белоруссии и Тибета.

Что делать?

Итак, официального патча для уязвимости пока нет. Злоумышленники устроили с Фоллиной настоящий киберпреступный шабаш и останавливаться на достигнутом не намерены. Что делать в такой ситуации? Как не стать жертвой хакерских атак?

Не открывайте файлы, полученные из недостоверных источников, и внимательно проверяйте почтовые адреса отправителей.

Пока разрабатывается обновление, Microsoft рекомендует  всем продвинутым пользователям и администраторам Windows воспользоваться обходными решениями – отключить протокол MSDT URL.

Однако отметим, что предложенный вариант является временным решением проблемы. Обязательно установите обновление, устраняющее уязвимость Follina, после того как оно будет выпущено Microsoft.



6 Комментариев
  • Доктор
    04 июня 2022, 11:52
    А без прав админа, что умеет то?
    Это просто установка исходящего соединения на сервера.
    По каким портам?
    Это ключевая информация, а не многобукв
      • Доктор
        04 июня 2022, 13:41
        positivetechnologies, давайте попробуем еще разок:
        1. чтобы злоумышленник хоть чем то управлял, должно произойти следующее:
        -установка исходящего тсп соединения к серверу злоумышленника
        -либо удп обмен с сервером злоумышленника.
        Обе операции подразумевают порт назначения.
        Каковы порты назначения? Их достаточно просто прикрыть на пограничных маршрутизаторах, чтобы ничего не произошло.
        или это 443?


          • Доктор
            04 июня 2022, 15:48
            positivetechnologies, об этом и речь.
            В описываемой угрозе легитимные порты? 443,80, 21 и тд?
            Если на маршрутизатора открыт ограниченный набор портов, а вредоносный софт испрльзует свои — шансов у него нет, куда то подключиться и передать данные.
            Что известно про порты, используемые данной угрозой?
            В статье написано, что злоумышленник получает удалённый контроль.
            Слабое место в этой схеме — порты соединения. Каковы они?
  • Alexander Antipov
    04 июня 2022, 16:07
    Доктор Силберман, угрозу использует конкретное вредоносное ПО, оно может быть любым, уязвимость не привязана к конкретному вредоносу или хакерской группе, поэтому и порты могут использоваться любые.  Даже не обязательно использовать TCP или UDP порты — вредонсы могут использовать ICMP трафик или протоколы отличные от TCP/IP стека — например magic packet или широковещательные пакеты. 

    Выше правильно было написано современным вредоносам не нужны открытые порты на маршрутизаторе.  Удаленный контроль осуществляется через исходящее соединение, а не через входящее. Поэтому если на вход закрыты все порты, все равно вредонос может передавать команды. Плюс у современного вредоносного ПО всегда существуют несколько сценариев поведения, что делать в случае если нет команд от управляющего сервера.

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн