मुख्य तथ्य
- एक नया विंडोज़ शून्य-क्लिक हमला जो बिना किसी उपयोगकर्ता कार्रवाई के मशीनों से समझौता कर सकता है जंगली में देखा गया है।
- Microsoft ने इस मुद्दे को स्वीकार कर लिया है और उपचार के कदम उठाए हैं, लेकिन बग का अभी तक कोई आधिकारिक पैच नहीं है।
- सुरक्षा शोधकर्ताओं ने देखा कि बग का सक्रिय रूप से शोषण किया जा रहा है और निकट भविष्य में और अधिक हमलों की उम्मीद है।
हैकर्स ने केवल एक विशेष रूप से तैयार की गई दुर्भावनापूर्ण फ़ाइल भेजकर विंडोज कंप्यूटर में सेंध लगाने का एक तरीका ढूंढ लिया है।
डब्ड फॉलिना, बग काफी गंभीर है क्योंकि यह हैकर्स को केवल एक संशोधित माइक्रोसॉफ्ट ऑफिस दस्तावेज़ भेजकर किसी भी विंडोज सिस्टम पर पूर्ण नियंत्रण लेने की अनुमति दे सकता है। कुछ मामलों में, लोगों को फ़ाइल को खोलने की भी आवश्यकता नहीं होती है, क्योंकि विंडोज़ फ़ाइल पूर्वावलोकन खराब बिट्स को ट्रिगर करने के लिए पर्याप्त है। विशेष रूप से, Microsoft ने बग को स्वीकार कर लिया है, लेकिन अभी तक इसे समाप्त करने के लिए आधिकारिक सुधार जारी नहीं किया है।
"यह भेद्यता अभी भी चिंता करने वाली चीजों की सूची में सबसे ऊपर होनी चाहिए," डॉ। जोहान्स उलरिच, सैन्स टेक्नोलॉजी इंस्टीट्यूट के अनुसंधान के डीन, ने SANS साप्ताहिक समाचार पत्र में लिखा है। "जबकि एंटी-मैलवेयर विक्रेता हस्ताक्षर को जल्दी से अपडेट कर रहे हैं, वे इस भेद्यता का लाभ उठाने वाले व्यापक प्रकार के कारनामों से बचाने के लिए अपर्याप्त हैं।"
समझौता पूर्वावलोकन
जापानी सुरक्षा शोधकर्ताओं ने पहली बार मई के अंत में एक दुर्भावनापूर्ण Word दस्तावेज़ के सौजन्य से खतरे का पता लगाया था।
सुरक्षा शोधकर्ता केविन ब्यूमोंट ने भेद्यता का खुलासा किया और पाया कि.doc फ़ाइल ने HTML कोड का एक नकली टुकड़ा लोड किया है, जो तब Microsoft डायग्नोस्टिक्स टूल को पावरशेल कोड निष्पादित करने के लिए कहता है, जो बदले में दुर्भावनापूर्ण पेलोड चलाता है।
ऑपरेटिंग सिस्टम में कुछ गलत होने पर विंडोज डायग्नोस्टिक जानकारी एकत्र करने और भेजने के लिए माइक्रोसॉफ्ट डायग्नोस्टिक टूल (एमएसडीटी) का उपयोग करता है। ऐप्स विशेष MSDT URL प्रोटोकॉल (ms-msdt: //) का उपयोग करके टूल को कॉल करते हैं, जिसका फ़ॉलिना शोषण करना चाहता है।
"यह कारनामे एक दूसरे के ऊपर ढेर किए गए कारनामों का पहाड़ है। हालांकि, दुर्भाग्य से इसे फिर से बनाना आसान है और एंटी-वायरस द्वारा इसका पता नहीं लगाया जा सकता है," ट्विटर पर सुरक्षा अधिवक्ताओं ने लिखा।
लाइफवायर के साथ एक ईमेल चर्चा में, इमर्सिव लैब्स में साइबर सुरक्षा इंजीनियर निकोलस सेमेरिकिक ने समझाया कि फोलिना अद्वितीय है। यह कार्यालय मैक्रोज़ के दुरुपयोग का सामान्य मार्ग नहीं अपनाता है, यही वजह है कि यह उन लोगों के लिए भी कहर बरपा सकता है जिन्होंने मैक्रोज़ को अक्षम कर दिया है।
"कई वर्षों से, ईमेल फ़िशिंग, दुर्भावनापूर्ण वर्ड दस्तावेज़ों के साथ, उपयोगकर्ता के सिस्टम तक पहुँच प्राप्त करने का सबसे प्रभावी तरीका रहा है," सेमेरिकिक ने बताया। "अब फोलिना हमले से जोखिम बढ़ गया है, क्योंकि पीड़ित को केवल एक दस्तावेज़ खोलने की आवश्यकता है, या कुछ मामलों में, सुरक्षा चेतावनियों को अनुमोदित करने की आवश्यकता को हटाते हुए, विंडोज पूर्वावलोकन फलक के माध्यम से दस्तावेज़ का पूर्वावलोकन देखें।"
Microsoft को फ़ॉलिना द्वारा उत्पन्न जोखिमों को कम करने के लिए कुछ उपचारात्मक कदम उठाने की जल्दी थी। हंट्रेस के एक वरिष्ठ सुरक्षा शोधकर्ता जॉन हैमंड ने बग पर कंपनी के डीप डाइव ब्लॉग में लिखा है, "जो शमन उपलब्ध हैं, वे गन्दा वर्कअराउंड हैं, जिनके प्रभाव का अध्ययन करने के लिए उद्योग के पास समय नहीं है।" "उनमें विंडोज रजिस्ट्री में सेटिंग्स बदलना शामिल है, जो गंभीर व्यवसाय है क्योंकि गलत रजिस्ट्री प्रविष्टि आपकी मशीन को रोक सकती है।"
यह भेद्यता अभी भी चिंता करने वाली चीजों की सूची में सबसे ऊपर होनी चाहिए।
जबकि Microsoft ने इस समस्या को ठीक करने के लिए आधिकारिक पैच जारी नहीं किया है, 0patch प्रोजेक्ट से एक अनौपचारिक पैच है।
फिक्स के माध्यम से बात करते हुए, 0patch प्रोजेक्ट के सह-संस्थापक, मित्जा कोलसेक ने लिखा कि Microsoft डायग्नोस्टिक टूल को पूरी तरह से अक्षम करना या पैच में Microsoft के उपचारात्मक चरणों को संहिताबद्ध करना आसान होगा, लेकिन प्रोजेक्ट के लिए चला गया एक अलग दृष्टिकोण है क्योंकि ये दोनों दृष्टिकोण नैदानिक उपकरण के प्रदर्शन को नकारात्मक रूप से प्रभावित करेंगे।
अभी शुरू हुआ है
साइबर सुरक्षा विक्रेताओं ने अमेरिका और यूरोप में कुछ हाई-प्रोफाइल लक्ष्यों के खिलाफ सक्रिय रूप से शोषण किए जा रहे दोष को देखना शुरू कर दिया है।
यद्यपि जंगली में सभी मौजूदा कारनामे कार्यालय दस्तावेजों का उपयोग करते प्रतीत होते हैं, फॉलिना को अन्य हमले वैक्टर के माध्यम से दुरुपयोग किया जा सकता है, सेमेरिकिक ने समझाया।
यह बताते हुए कि उन्हें क्यों विश्वास था कि फोलिना जल्द ही दूर नहीं जा रही है, सेमेरिकिक ने कहा कि, किसी भी बड़े शोषण या भेद्यता के साथ, हैकर अंततः शोषण के प्रयासों में सहायता के लिए उपकरण विकसित करना और जारी करना शुरू करते हैं।यह अनिवार्य रूप से इन जटिल कारनामों को पॉइंट-एंड-क्लिक हमलों में बदल देता है।
"हमलावरों को अब यह समझने की आवश्यकता नहीं है कि हमला कैसे काम करता है या कमजोरियों की एक श्रृंखला को एक साथ श्रृंखलाबद्ध करता है, उन्हें बस एक टूल पर 'रन' पर क्लिक करना है," सेमेरिकिक ने कहा।
उन्होंने तर्क दिया कि साइबर सुरक्षा समुदाय ने पिछले एक सप्ताह में ठीक यही देखा है, कम सक्षम या अशिक्षित हमलावरों और स्क्रिप्ट किडियों के हाथों में एक बहुत ही गंभीर शोषण किया जा रहा है।
"जैसे-जैसे समय बीतता जाएगा, ये उपकरण जितने अधिक उपलब्ध होंगे, लक्ष्य मशीनों से समझौता करने के लिए मैलवेयर वितरण की एक विधि के रूप में अधिक Follina का उपयोग किया जाएगा," सेमेरिकिक ने चेतावनी दी, लोगों से बिना किसी देरी के अपनी विंडोज मशीनों को पैच करने का आग्रह किया।
