Үндсэн санаанууд
- Зэрлэг байгальд хэрэглэгчийн ямар ч үйлдэл хийхгүйгээр машинуудыг эвдэж болох Windows-ийн тэг товшилтоор шинэ халдлага ажиглагдсан.
- Microsoft асуудлыг хүлээн зөвшөөрч, засварлах алхмуудыг хийсэн боловч уг алдааг албан ёсны засвар хараахан аваагүй байна.
- Аюулгүй байдлын судлаачид уг алдааг идэвхтэй ашиглаж байгааг харж байгаа бөгөөд ойрын ирээдүйд илүү олон халдлага гарах болно гэж найдаж байна.
Хакерууд зүгээр л тусгайлан боловсруулсан хортой файл илгээх замаар Windows-ийн компьютерт нэвтрэх аргыг олсон байна.
Фоллина гэж нэрлэгдсэн энэхүү алдаа нь маш ноцтой бөгөөд энэ нь хакеруудад зөвхөн өөрчилсөн Microsoft Office баримт бичгийг илгээснээр ямар ч Windows системийг бүрэн хянах боломжийг олгодог. Зарим тохиолдолд Windows файлыг урьдчилан харах нь таагүй битүүдийг өдөөхөд хангалттай байдаг тул хүмүүс файлыг нээх шаардлагагүй байдаг. Microsoft алдааг хүлээн зөвшөөрсөн ч үүнийг хүчингүй болгох албан ёсны засварыг хараахан гаргаагүй байгаа.
"Энэ эмзэг байдал нь санаа зовох зүйлсийн жагсаалтын эхэнд байх ёстой" гэж SANS Технологийн Хүрээлэнгийн Судалгааны Декан Др. Йоханнес Улрих SANS долоо хоног тутмын мэдээллийн товхимолд бичжээ. "Холбооны эсрэг үйлчилгээ үзүүлэгчид гарын үсгээ хурдан шинэчилж байгаа ч энэ эмзэг байдлыг ашиглаж болох өргөн хүрээний мөлжлөгөөс хамгаалахад хангалтгүй байна."
Буулгахын тулд урьдчилан харах
Энэ аюулыг анх 5-р сарын сүүлчээр Японы аюулгүй байдлын судлаачид хортой Word баримт бичгээс олж илрүүлсэн.
Аюулгүй байдлын судлаач Кевин Бьюмонт эмзэг байдлыг нээж,.doc файлд хуурамч HTML кодыг ачаалсныг олж илрүүлж, дараа нь Microsoft-ын оношилгооны хэрэглүүрийг PowerShell код ажиллуулж, энэ нь эргээд хортой ачааллыг ажиллуулдаг.
Windows нь үйлдлийн системд ямар нэг алдаа гарсан үед оношилгооны мэдээллийг цуглуулж илгээхийн тулд Microsoft оношилгооны хэрэглүүрийг (MSDT) ашигладаг. Фоллина ашиглахыг зорьсон тусгай MSDT URL протокол (ms-msdt://) ашиглан программыг дууддаг.
"Энэхүү мөлжлөг нь бие биен дээрээ овоолсон уулс юм. Гэвч харамсалтай нь үүнийг дахин бүтээхэд хялбар бөгөөд вирусны эсрэг илрүүлэх боломжгүй" гэж аюулгүй байдлын хамгаалагчид Twitter дээр бичжээ.
Lifewire-тэй цахим шуудангаар ярилцлага өгөхдөө Иммерсив лабораторийн кибер аюулгүй байдлын инженер Николас Чемерикич Фоллина өвөрмөц гэдгийг тайлбарлав. Энэ нь оффисын макрог буруугаар ашиглах ердийн замыг баримталдаггүй тул макро идэвхгүй болгосон хүмүүст ч сүйрэлд хүргэж болзошгүй юм.
"Олон жилийн турш цахим шуудангийн фишинг нь Word бичиг баримттай хослуулан хэрэглэгчийн системд нэвтрэх хамгийн үр дүнтэй арга байсаар ирсэн" гэж Cemerikic онцолжээ. "Хохирогч зөвхөн баримтыг нээх эсвэл зарим тохиолдолд Windows-ын урьдчилан харах цонхоор дамжуулан баримтыг урьдчилан үзэх шаардлагатай тул аюулгүй байдлын сэрэмжлүүлгийг зөвшөөрөх шаардлагагүй тул Follina халдлагын улмаас эрсдэл нэмэгдэж байна."
Microsoft нь Фоллинагийн учирч болох эрсдлийг бууруулахын тулд зарим засварын алхмуудыг яаралтай гаргажээ. Хантресс компанийн аюулгүй байдлын ахлах судлаач Жон Хаммонд алдааны талаар гүн гүнзгий шумбах блогтоо "Боломжтой арга хэмжээнүүд нь салбар нь үр нөлөөг нь судалж амжаагүй эмх замбараагүй шийдлүүд юм" гэж бичжээ. "Тэд Windows Бүртгэлийн тохиргоог өөрчлөхтэй холбоотой. Бүртгэлийн буруу оруулга нь таны машиныг эвдэж болзошгүй тул ноцтой асуудал юм."
Энэ эмзэг байдал нь санаа зовох зүйлсийн жагсаалтын эхэнд байх ёстой.
Майкрософт уг асуудлыг засах албан ёсны засварыг гаргаагүй байгаа ч 0patch төслөөс албан бус засвар бий.
Засах талаар ярихдаа 0patch төслийн хамтран үүсгэн байгуулагч Митжа Колсек Microsoft-ын оношилгооны хэрэгслийг бүхэлд нь идэвхгүй болгох эсвэл Microsoft-ын засварын алхмуудыг нөхөөс болгон кодчилох нь энгийн зүйл гэж бичжээ. Энэ хоёр арга нь оношлогооны хэрэгслийн гүйцэтгэлд сөргөөр нөлөөлөх тул өөр арга.
Дөнгөж эхэлж байна
Кибер аюулгүй байдлын ханган нийлүүлэгчид АНУ болон Европ дахь зарим томоохон зорилтот байгууллагуудын эсрэг энэ дутагдлыг идэвхтэй ашиглаж байгааг аль хэдийн харж эхэлсэн.
Хэдийгээр зэрлэг байгальд байгаа бүх мөлжлөгүүд нь Office баримт бичгүүдийг ашиглаж байгаа мэт боловч Фоллинаг бусад халдлагын векторуудаар дамжуулан урвуулан ашиглаж болно гэж Cemerikic тайлбарлав.
Фоллина удахгүй алга болохгүй гэж яагаад итгэж байгаагаа тайлбарлахдаа Чемерикич хэлэхдээ, аливаа томоохон мөлжлөг, эмзэг байдлын нэгэн адил хакерууд эцэстээ мөлжлөгийн хүчин чармайлтад туслах хэрэгслүүдийг боловсруулж, гаргаж эхэлдэг. Энэ нь үндсэндээ эдгээр нэлээн төвөгтэй мөлжлөгүүдийг цэг дээр дарж довтолгоо болгон хувиргадаг.
"Халдлага үйлдэгчид халдлага хэрхэн ажилладагийг ойлгох эсвэл хэд хэдэн эмзэг байдлыг хооронд нь холбох шаардлагагүй болсон. Тэдний хийх ёстой зүйл бол хэрэгсэл дээр "ажиллуулах" дээр дарахад л хангалттай." гэж Cemerikic хэлэв.
Өнгөрсөн долоо хоногт кибер аюулгүй байдлын нийгэмлэг яг үүнийг гэрчлээд, чадвар муутай эсвэл боловсролгүй халдлага үйлдэгч, скрипт хүүхдүүдийн гарт маш ноцтой мөлжлөг хийгдсэн гэж тэр нотолсон.
"Цаг хугацаа өнгөрөх тусам эдгээр хэрэгслүүд олширч, зорилтот машинуудыг эвдэхийн тулд Follina-г илүү их хортой програм хүргэх арга болгон ашиглах болно" гэж Cemerikic анхааруулж, Windows машинуудаа цаг алдалгүй засварлахыг хүмүүст уриалав.
