Belangrijkste afhaalrestaurants
- Er is in het wild een nieuwe Windows-zero-click-aanval waargenomen die machines kan compromitteren zonder enige actie van de gebruiker.
- Microsoft heeft het probleem erkend en herstelstappen voorgesteld, maar de bug heeft nog geen officiële patch.
- Beveiligingsonderzoekers zien dat de bug actief wordt misbruikt en verwachten in de nabije toekomst meer aanvallen.
Hackers hebben een manier gevonden om in te breken op een Windows-computer door simpelweg een speciaal vervaardigd kwaadaardig bestand te verzenden.
Nagesynchroniseerd met Follina, de bug is behoorlijk ernstig omdat het hackers in staat zou kunnen stellen volledige controle over elk Windows-systeem te krijgen door gewoon een aangepast Microsoft Office-document te verzenden. In sommige gevallen hoeven mensen het bestand niet eens te openen, omdat het Windows-bestandsvoorbeeld voldoende is om de vervelende stukjes te activeren. Met name Microsoft heeft de bug erkend, maar heeft nog geen officiële oplossing uitgebracht om deze teniet te doen.
"Deze kwetsbaarheid zou nog steeds bovenaan de lijst moeten staan van dingen om je zorgen over te maken", schreef Dr. Johannes Ullrich, decaan onderzoek van het SANS Technology Institute, in de wekelijkse SANS-nieuwsbrief. "Hoewel leveranciers van anti-malware hun handtekeningen snel bijwerken, zijn ze onvoldoende om bescherming te bieden tegen het brede scala aan exploits die misbruik kunnen maken van dit beveiligingslek."
Voorbeeld om een compromis te sluiten
De dreiging werd eind mei voor het eerst opgemerkt door Japanse beveiligingsonderzoekers dankzij een kwaadaardig Word-document.
Beveiligingsonderzoeker Kevin Beaumont ontvouwde de kwetsbaarheid en ontdekte dat het.doc-bestand een vals stukje HTML-code laadde, dat vervolgens de Microsoft Diagnostics Tool aanroept om een PowerShell-code uit te voeren, die op zijn beurt de kwaadaardige payload uitvoert.
Windows gebruikt de Microsoft Diagnostic Tool (MSDT) om diagnostische informatie te verzamelen en te verzenden wanneer er iets misgaat met het besturingssysteem. Apps roepen de tool aan met behulp van het speciale MSDT URL-protocol (ms-msdt://), dat Follina wil exploiteren.
"Deze exploit is een berg van exploits die op elkaar zijn gestapeld. Het is helaas eenvoudig opnieuw te maken en kan niet worden gedetecteerd door antivirusprogramma's", schreven beveiligingsadvocaten op Twitter.
In een e-mailgesprek met Lifewire legde Nikolas Cemerikic, Cyber Security Engineer bij Immersive Labs, uit dat Follina uniek is. Het neemt niet de gebruikelijke route om kantoormacro's te misbruiken, daarom kan het zelfs grote schade aanrichten aan mensen die macro's hebben uitgeschakeld.
"E-mailphishing, in combinatie met kwaadaardige Word-documenten, is jarenlang de meest effectieve manier geweest om toegang te krijgen tot het systeem van een gebruiker", benadrukt Cemerikic. "Het risico wordt nu vergroot door de Follina-aanval, omdat het slachtoffer alleen een document hoeft te openen, of in sommige gevallen een voorbeeld van het document hoeft te bekijken via het Windows-voorbeeldvenster, terwijl het niet langer nodig is om beveiligingswaarschuwingen goed te keuren."
Microsoft kwam snel met enkele herstelmaatregelen om de risico's van Follina te beperken. "De oplossingen die beschikbaar zijn, zijn rommelige oplossingen waarvan de industrie geen tijd heeft gehad om de impact te bestuderen", schreef John Hammond, senior beveiligingsonderzoeker bij Huntress, in de diepgaande blog van het bedrijf over de bug. "Het gaat om het wijzigen van instellingen in het Windows-register, wat een serieuze zaak is omdat een onjuiste registervermelding uw machine kan blokkeren."
Deze kwetsbaarheid zou nog steeds bovenaan de lijst moeten staan met dingen om je zorgen over te maken.
Hoewel Microsoft geen officiële patch heeft uitgebracht om het probleem op te lossen, is er een onofficiële patch van het 0patch-project.
Mitja Kolsek, mede-oprichter van het 0patch-project, sprak over de oplossing en schreef dat hoewel het eenvoudig zou zijn om de Microsoft Diagnostic-tool helemaal uit te schakelen of om de herstelstappen van Microsoft in een patch te coderen, het project ging voor een andere benadering, aangezien beide benaderingen een negatieve invloed zouden hebben op de prestaties van het diagnostische hulpprogramma.
Het is net begonnen
Cybersecurity-leveranciers zien al dat de fout actief wordt misbruikt tegen een aantal spraakmakende doelen in de VS en Europa.
Hoewel alle huidige exploits in het wild Office-documenten lijken te gebruiken, kan Follina worden misbruikt door andere aanvalsvectoren, legt Cemerikic uit.
Om uit te leggen waarom hij geloofde dat Follina niet snel zal verdwijnen, zei Cemerikic dat, zoals bij elke grote exploit of kwetsbaarheid, hackers uiteindelijk tools gaan ontwikkelen en vrijgeven om de exploitatie-inspanningen te ondersteunen. Dit verandert in wezen deze nogal complexe exploits in point-and-click-aanvallen.
"Aanvallers hoeven niet langer te begrijpen hoe de aanval werkt of een reeks kwetsbaarheden aan elkaar te koppelen, ze hoeven alleen maar op 'uitvoeren' op een tool te klikken", aldus Cemerikic.
Hij beweerde dat dit precies is wat de cyberbeveiligingsgemeenschap de afgelopen week heeft gezien, waarbij een zeer ernstige exploit in handen werd gegeven van minder capabele of ongeschoolde aanvallers en scriptkiddies.
"Naarmate de tijd vordert, hoe meer deze tools beschikbaar komen, hoe meer Follina zal worden gebruikt als een methode voor het afleveren van malware om de doelmachines te compromitteren", waarschuwde Cemerikic en drong er bij mensen op aan hun Windows-machines zonder vertraging te patchen.
