Η Microsoft συνεχίζει να υποβαθμίζει τη σοβαρότητα της ευπάθειας Follina, η οποία παραμένει παρούσα σε όλες τις υποστηριζόμενες εκδόσεις των Windows.
Δείτε επίσης: SMSFactory Android malware: Πώς “φουσκώνει” το λογαριασμό σας;
Οι ερευνητές προειδοποίησαν το περασμένο Σαββατοκύριακο ότι ένα ελάττωμα στο Support Diagnostic Tool της Microsoft θα μπορούσε να αξιοποιηθεί χρησιμοποιώντας κακόβουλα έγγραφα του Word για τον απομακρυσμένο έλεγχο των συσκευών-στόχων. Τη Δευτέρα η Microsoft δημοσίευσε οδηγίες, συμπεριλαμβανομένων των προσωρινών μέτρων άμυνας. Μέχρι την Τρίτη, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των Ηνωμένων Πολιτειών είχε προειδοποιήσει ότι «ένας απομακρυσμένος εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια», γνωστή ως Follina, «για να πάρει τον έλεγχο ενός επηρεαζόμενου συστήματος». Ωστόσο, μέχρι στιγμής η Microsoft δεν έχει αναφερθεί στο αν και πότε θα κυκλοφορήσει ένα patch για την ευπάθεια, παρόλο που η εταιρεία αναγνώρισε ότι το ελάττωμα χρησιμοποιείτο ενεργά από τους χάκερ.
Η ευπάθεια Follina σε ένα εργαλείο υποστήριξης των Windows μπορεί εύκολα να αξιοποιηθεί από ένα ειδικά κατασκευασμένο έγγραφο του Word. Το δέλεαρ είναι εξοπλισμένο με ένα απομακρυσμένο πρότυπο που μπορεί να ανακτήσει ένα κακόβουλο αρχείο HTML και τελικά να επιτρέψει σε έναν εισβολέα να εκτελέσει εντολές Powershell στα Windows. Οι ερευνητές σημειώνουν ότι θα περιέγραφαν το σφάλμα ως μια ευπάθεια «zero-day», αλλά η Microsoft δεν το έχει ταξινομήσει ως τέτοια.
Δείτε επίσης: Phishing επιθέσεις: Άνοδο στην χρήση υπηρεσιών reverse tunnel και URL shortening
«Αφού αυξήθηκε η γνώση του κοινού για το exploit, αρχίσαμε να βλέπουμε μια άμεση απάντηση από διάφορους επιτιθέμενους που άρχισαν να το χρησιμοποιούν», λέει ο Tom Hegel, ανώτερος ερευνητής απειλών στην εταιρεία ασφαλείας SentinelOne. Προσθέτει ότι ενώ μέχρι στιγμής οι επιτιθέμενοι έχουν παρατηρηθεί κυρίως να εκμεταλλεύονται το ελάττωμα μέσω κακόβουλων εγγράφων, οι ερευνητές έχουν ανακαλύψει και άλλες μεθόδους, συμπεριλαμβανομένης της χειραγώγησης του περιεχομένου HTML στην κυκλοφορία δικτύου.
«Ενώ η προσέγγιση κακόβουλου εγγράφου είναι ιδιαίτερα ανησυχητική, οι λιγότερο τεκμηριωμένες μέθοδοι με τις οποίες μπορεί να ενεργοποιηθεί το exploit είναι ανησυχητικές μέχρι να διορθωθούν», λέει ο Hegel. «Θα περίμενα από ευκαιριακούς και στοχευμένους απειλητικούς παράγοντες να χρησιμοποιήσουν αυτήν την ευπάθεια με διάφορους τρόπους όταν η επιλογή είναι διαθέσιμη — είναι πολύ εύκολο».
Η ευπάθεια Follina υπάρχει σε όλες τις υποστηριζόμενες εκδόσεις των Windows και μπορεί να χρησιμοποιηθεί μέσω των Microsoft Office 365, Office 2013 έως 2019, Office 2021 και Office ProPlus. Ο κύριος προτεινόμενος μετριασμός της Microsoft περιλαμβάνει την απενεργοποίηση ενός συγκεκριμένου πρωτοκόλλου εντός του Support Diagnostic Tool και τη χρήση του Microsoft Defender Antivirus για την παρακολούθηση και τον αποκλεισμό του exploitation.
Ωστόσο, οι υπεύθυνοι για την αντιμετώπιση περιστατικών λένε ότι απαιτείται περισσότερη δράση, δεδομένου του πόσο εύκολο είναι να εκμεταλλευτεί κανείς την ευπάθεια και πόση κακόβουλη δραστηριότητα εντοπίζεται.
“Βλέπουμε μια ποικιλία παραγόντων APT να ενσωματώνουν αυτήν την τεχνική σε μεγαλύτερες αλυσίδες μόλυνσης που χρησιμοποιούν την ευπάθεια Follina”, λέει ο Michael Raggi, ερευνητής απειλών προσωπικού στην εταιρεία ασφαλείας Proofpoint, ο οποίος εστιάζει σε χάκερ που υποστηρίζονται από την κινεζική κυβέρνηση. “Για παράδειγμα, Στις 30 Μαΐου 2022, παρατηρήσαμε ότι η κινεζική ομάδα APT TA413 έστειλε μια κακόβουλη διεύθυνση URL σε ένα email που υποδύθηκε την Κεντρική Διοίκηση του Θιβέτ. Διαφορετικοί χάκερ βρίσκονται στα αρχεία που σχετίζονται με το Follina σε διαφορετικά στάδια της αλυσίδας μόλυνσης τους, ανάλογα με την προϋπάρχουσα εργαλειοθήκη και τις τακτικές που έχουν αναπτυχθεί».
Οι ερευνητές έχουν δει κακόβουλα έγγραφα που εκμεταλλεύονται τη Follina με στόχους στη Ρωσία, την Ινδία, τις Φιλιππίνες, τη Λευκορωσία και το Νεπάλ. Ένας προπτυχιακός ερευνητής παρατήρησε για πρώτη φορά την ευπάθεια τον Αύγουστο του 2020, αλλά αναφέρθηκε για πρώτη φορά στη Microsoft στις 21 Απριλίου. Οι ερευνητές σημείωσαν ότι τα Follina hacks είναι ιδιαίτερα χρήσιμα για τους εισβολείς, επειδή μπορούν να προέρχονται από κακόβουλα έγγραφα χωρίς να βασίζονται σε Macros.
«Η Proofpoint εντόπισε μια ποικιλία παραγόντων που ενσωματώνουν την ευπάθεια Follina στις εκστρατείες phishing», λέει ο Sherrod DeGrippo, αντιπρόεδρος έρευνας απειλών της Proofpoint.
Το ερώτημα είναι εάν οι οδηγίες που έχει δημοσιεύσει μέχρι στιγμής η Microsoft γι’ αυτό το exploitation είναι επαρκείς και ανάλογες με τον κίνδυνο.
Δείτε επίσης: Εγκαταστήστε άμεσα: Κυκλοφόρησε ενημέρωση για το σφάλμα Atlassian Confluence RCE
«Οι ομάδες ασφαλείας θα μπορούσαν να δουν την αδιάφορη προσέγγιση της Microsoft ως ένα σημάδι ότι πρόκειται απλώς για μια άλλη ευπάθεια, κάτι που σίγουρα δεν είναι», λέει ο Jake Williams, διευθυντής πληροφοριών για τις απειλές στον κυβερνοχώρο στην εταιρεία ασφαλείας Scythe. «Δεν είναι ξεκάθαρο γιατί η Microsoft συνεχίζει να υποβαθμίζει αυτήν την ευπάθεια, ειδικά αφού υφίσταται ενεργό exploit».
Πηγή πληροφοριών: arstechnica.com
