Da asporto chiave
- È stato osservato in natura un nuovo attacco zero-click di Windows che può compromettere le macchine senza alcuna azione dell'utente.
- Microsoft ha riconosciuto il problema e ha messo in atto misure di correzione, ma il bug non ha ancora una patch ufficiale.
- I ricercatori della sicurezza vedono il bug sfruttato attivamente e si aspettano più attacchi nel prossimo futuro.
Gli hacker hanno trovato un modo per entrare in un computer Windows semplicemente inviando un file dannoso appositamente predisposto.
Dominato Follina, il bug è piuttosto grave in quanto potrebbe consentire agli hacker di assumere il controllo completo su qualsiasi sistema Windows semplicemente inviando un documento Microsoft Office modificato. In alcuni casi, le persone non devono nemmeno aprire il file, poiché l'anteprima del file di Windows è sufficiente per attivare i bit cattivi. In particolare, Microsoft ha riconosciuto il bug ma non ha ancora rilasciato una correzione ufficiale per annullarlo.
"Questa vulnerabilità dovrebbe essere ancora in cima alla lista delle cose di cui preoccuparsi", ha scritto il Dr. Johannes Ullrich, Dean of Research per SANS Technology Institute, nella newsletter settimanale SANS. "Sebbene i fornitori di anti-malware stiano aggiornando rapidamente le firme, queste sono inadeguate a proteggere dall'ampia gamma di exploit che potrebbero trarre vantaggio da questa vulnerabilità."
Anteprima per il compromesso
La minaccia è stata individuata per la prima volta da ricercatori di sicurezza giapponesi verso la fine di maggio grazie a un documento Word dannoso.
Il ricercatore sulla sicurezza Kevin Beaumont ha svelato la vulnerabilità e ha scoperto che il file.doc ha caricato un pezzo di codice HTML spurio, che quindi richiama lo strumento di diagnostica Microsoft per eseguire un codice PowerShell, che a sua volta esegue il payload dannoso.
Windows utilizza Microsoft Diagnostic Tool (MSDT) per raccogliere e inviare informazioni diagnostiche quando qualcosa va storto con il sistema operativo. Le app chiamano lo strumento utilizzando lo speciale protocollo URL MSDT (ms-msdt://), che Follina mira a sfruttare.
"Questo exploit è una montagna di exploit impilati l'uno sull' altro. Tuttavia, sfortunatamente è facile da ricreare e non può essere rilevato dall'antivirus", hanno scritto i sostenitori della sicurezza su Twitter.
In una discussione via e-mail con Lifewire, Nikolas Cemerikic, Cyber Security Engineer presso Immersive Labs, ha spiegato che Follina è unica. Non segue la solita strada dell'uso improprio delle macro di Office, motivo per cui può anche devastare le persone che hanno disabilitato le macro.
"Per molti anni, il phishing via e-mail, combinato con documenti Word dannosi, è stato il modo più efficace per accedere al sistema di un utente", ha sottolineato Cemerikic. "Il rischio ora è aumentato dall'attacco di Follina, poiché la vittima deve solo aprire un documento o, in alcuni casi, visualizzare un'anteprima del documento tramite il riquadro di anteprima di Windows, eliminando la necessità di approvare gli avvisi di sicurezza."
Microsoft si è affrettata a mettere in atto alcune misure correttive per mitigare i rischi posti da Follina. "Le mitigazioni disponibili sono soluzioni disordinate di cui l'industria non ha avuto il tempo di studiare l'impatto", ha scritto John Hammond, ricercatore di sicurezza senior presso Huntress, nel blog di approfondimento dell'azienda sul bug. "Comportano la modifica delle impostazioni nel registro di Windows, il che è una cosa seria perché una voce di registro errata potrebbe danneggiare il tuo computer."
Questa vulnerabilità dovrebbe essere ancora in cima alla lista delle cose di cui preoccuparsi.
Anche se Microsoft non ha rilasciato una patch ufficiale per risolvere il problema, ce n'è una non ufficiale dal progetto 0patch.
Parlando della correzione, Mitja Kolsek, co-fondatrice del progetto 0patch, ha scritto che mentre sarebbe semplice disabilitare del tutto lo strumento di diagnostica Microsoft o codificare i passaggi di riparazione di Microsoft in una patch, il progetto è andato per un approccio diverso poiché entrambi questi approcci avrebbero un impatto negativo sulle prestazioni dello strumento diagnostico.
È appena iniziato
I fornitori di sicurezza informatica hanno già iniziato a vedere il difetto sfruttato attivamente contro alcuni obiettivi di alto profilo negli Stati Uniti e in Europa.
Sebbene tutti gli exploit attuali in circolazione sembrino utilizzare documenti di Office, Follina può essere abusato attraverso altri vettori di attacco, ha spiegato Cemerikic.
Spiegando perché credeva che Follina non sarebbe andato via presto, Cemerikic ha affermato che, come con qualsiasi grande exploit o vulnerabilità, gli hacker alla fine iniziano a sviluppare e rilasciare strumenti per aiutare gli sforzi di sfruttamento. Questo essenzialmente trasforma questi exploit piuttosto complessi in attacchi punta e clicca.
"Gli aggressori non hanno più bisogno di capire come funziona l'attacco o di concatenare una serie di vulnerabilità, tutto ciò che devono fare è fare clic su 'Esegui' su uno strumento", ha affermato Cemerikic.
Ha affermato che questo è esattamente ciò a cui la comunità della sicurezza informatica ha assistito nell'ultima settimana, con un exploit molto serio messo nelle mani di attaccanti meno capaci o ignoranti e di script kiddies.
"Con il passare del tempo, più questi strumenti diventano disponibili, più Follina verrà utilizzato come metodo di distribuzione di malware per compromettere i computer di destinazione", ha avvertito Cemerikic, esortando le persone a patchare le proprie macchine Windows senza indugio.