Bài học rút ra chính
- Một cuộc tấn công bằng không nhấp chuột mới lạ của Windows có thể xâm phạm máy mà không cần bất kỳ hành động nào của người dùng đã được quan sát thấy trong tự nhiên.
- Microsoft đã xác nhận sự cố và đưa ra các bước khắc phục nhưng lỗi này vẫn chưa có bản vá chính thức.
- Các nhà nghiên cứu bảo mật nhận thấy lỗi đang được khai thác tích cực và mong đợi nhiều cuộc tấn công hơn trong tương lai gần.
Tin tặc đã tìm ra cách đột nhập vào máy tính Windows đơn giản bằng cách gửi một tệp độc hại được chế tạo đặc biệt.
Được mệnh danh là Follina, lỗi này khá nghiêm trọng vì nó có thể cho phép tin tặc kiểm soát hoàn toàn bất kỳ hệ thống Windows nào chỉ bằng cách gửi một tài liệu Microsoft Office đã được sửa đổi. Trong một số trường hợp, mọi người thậm chí không cần phải mở tệp, vì bản xem trước tệp của Windows đủ để kích hoạt các bit khó chịu. Đáng chú ý, Microsoft đã thừa nhận lỗi nhưng vẫn chưa đưa ra bản sửa lỗi chính thức để vô hiệu hóa nó.
"Lỗ hổng này vẫn nên đứng đầu danh sách những điều cần lo lắng", Tiến sĩ Johannes Ullrich, Trưởng khoa Nghiên cứu của Viện Công nghệ SANS, đã viết trong bản tin hàng tuần của SANS. "Mặc dù các nhà cung cấp phần mềm chống phần mềm độc hại đang nhanh chóng cập nhật chữ ký, nhưng họ không đủ khả năng bảo vệ chống lại hàng loạt hoạt động khai thác có thể lợi dụng lỗ hổng này."
Xem trước để Thỏa hiệp
Mối đe dọa lần đầu tiên được các nhà nghiên cứu bảo mật Nhật Bản phát hiện vào cuối tháng 5 do một tài liệu Word độc hại.
Nhà nghiên cứu bảo mật Kevin Beaumont đã mở lỗ hổng bảo mật và phát hiện ra tệp.doc đã tải một đoạn mã HTML giả, sau đó gọi Công cụ chẩn đoán của Microsoft để thực thi mã PowerShell, mã này sẽ chạy tải trọng độc hại.
Windows sử dụng Công cụ Chẩn đoán Microsoft (MSDT) để thu thập và gửi thông tin chẩn đoán khi hệ điều hành gặp sự cố. Các ứng dụng gọi công cụ này bằng giao thức URL MSDT đặc biệt (ms-msdt: //), mà Follina nhắm đến để khai thác.
"Khai thác này là một núi khai thác xếp chồng lên nhau. Tuy nhiên, rất tiếc là nó rất dễ tạo lại và không thể bị phát hiện bởi phần mềm chống vi-rút", những người ủng hộ bảo mật viết trên Twitter.
Trong một cuộc thảo luận qua email với Lifewire, Nikolas Cemerikic, Kỹ sư An ninh Mạng tại Immersive Labs, đã giải thích rằng Follina là duy nhất. Nó không theo con đường thông thường là lạm dụng macro văn phòng, đó là lý do tại sao nó thậm chí có thể tàn phá những người đã tắt macro.
"Trong nhiều năm, lừa đảo qua email, kết hợp với các tài liệu Word độc hại, là cách hiệu quả nhất để truy cập vào hệ thống của người dùng", Cemerikic chỉ ra. "Rủi ro hiện đang tăng cao bởi cuộc tấn công Follina, vì nạn nhân chỉ cần mở một tài liệu hoặc trong một số trường hợp, xem bản xem trước của tài liệu qua ngăn xem trước của Windows, đồng thời loại bỏ nhu cầu phê duyệt các cảnh báo bảo mật."
Microsoft đã nhanh chóng đưa ra một số bước khắc phục để giảm thiểu rủi ro do Follina gây ra. John Hammond, nhà nghiên cứu bảo mật cấp cao tại Huntress, đã viết trong blog chuyên sâu về lỗi này: “Các biện pháp giảm thiểu có sẵn là những cách giải quyết lộn xộn mà ngành công nghiệp không có thời gian để nghiên cứu tác động của nó. "Chúng liên quan đến việc thay đổi cài đặt trong Windows Registry, đây là một công việc nghiêm túc vì mục nhập Registry không chính xác có thể khiến máy tính của bạn bị kẹt."
Lỗ hổng này vẫn nên đứng đầu danh sách những điều cần lo lắng.
Mặc dù Microsoft chưa phát hành bản vá chính thức để khắc phục sự cố, nhưng có một bản vá không chính thức từ dự án 0patch.
Nói về bản sửa lỗi, Mitja Kolsek, người đồng sáng lập của dự án 0patch, đã viết rằng mặc dù rất đơn giản để tắt hoàn toàn công cụ Chẩn đoán của Microsoft hoặc mã hóa các bước khắc phục của Microsoft thành một bản vá, nhưng dự án đã một cách tiếp cận khác vì cả hai cách tiếp cận này sẽ tác động tiêu cực đến hiệu suất của Công cụ Chẩn đoán.
It’s Just Begun
Các nhà cung cấp bảo mật mạng đã bắt đầu nhận thấy lỗ hổng đang được tích cực khai thác chống lại một số mục tiêu cao cấp ở Hoa Kỳ và Châu Âu.
Mặc dù tất cả các hoạt động khai thác hiện tại dường như đều sử dụng tài liệu Office, nhưng Follina có thể bị lạm dụng thông qua các vectơ tấn công khác, Cemerikic giải thích.
Giải thích lý do tại sao anh ấy tin rằng Follina sẽ không sớm biến mất, Cemerikic nói rằng, như với bất kỳ hoạt động khai thác hoặc lỗ hổng lớn nào, các hacker cuối cùng cũng bắt đầu phát triển và phát hành các công cụ để hỗ trợ các nỗ lực khai thác. Về cơ bản, điều này biến những khai thác khá phức tạp này thành các cuộc tấn công trỏ và nhấp.
"Những kẻ tấn công không còn cần phải hiểu cách thức hoạt động của cuộc tấn công hoặc xâu chuỗi một loạt lỗ hổng lại với nhau, tất cả những gì họ cần làm là nhấp vào 'chạy' trên một công cụ", Cemerikic nói.
Anh ấy lập luận rằng đây chính xác là những gì mà cộng đồng an ninh mạng đã chứng kiến trong tuần qua, với việc khai thác rất nghiêm trọng được đưa vào tay của những kẻ tấn công kém năng lực hoặc không được đào tạo và những đứa trẻ viết kịch bản.
"Theo thời gian, các công cụ này càng trở nên khả dụng, thì Follina sẽ càng được sử dụng như một phương thức phát tán phần mềm độc hại để xâm phạm các máy mục tiêu", Cemerikic cảnh báo, kêu gọi mọi người vá máy Windows của họ ngay lập tức.