Блог компании Positive Technologies | Гостеприимная Follina. Как защититься от опасной уязвимости нулевого дня?

Хакеры могут проникать на компьютеры пользователей через офисные документы.

На этой неделе стало известно, что независимый исследователь информационной безопасности Nao_sec выявил в Windows уязвимость нулевого дня.

Уязвимостью нулевого дня называется проблема безопасности, которую обнаружили злоумышленники (или исследователи) еще до того, как о ней стало известно производителю программы. Уязвимость нулевого дня – настоящая находка для киберздлодеев. Ведь для такой «дыры» пока еще не выпущены патчи, и ее можно успешно использовать в своих преступных целях.

Описание проблемы

Обнаруженная исследователем проблема безопасности заключается в неправильной работе инструмента Microsoft Windows Support Diagnostic Tool (MSDT). Особенности MSDT позволяют хакерам проникать на компьютеры пользователей через офисные документы. Уязвимость получила название Follina и идентификатор CVE-2022-30190. «Дыра» является довольно опасной — оценивается в 7,8 балла из 10.

Кого затрагивает проблема

Уязвимость затрагивает пользователей, у которых установлен Microsoft Office 2013, Office 2016, Office 2019 и Office 2021, а также выпуски Professional Plus. Проблеме подвержены все поддерживаемые Microsoft версии Windows, включая серверные.

Примерный сценарий атаки

Злоумышленники создают вредоносный документ Word, направляют его пользователю по электронной почте, и с помощью мошеннических уловок заставляют открыть хакерский «подарочек». Злонамеренный код приходит в действие, и гостеприимная Фоллина открывает перед киберзлодеями двери на компьютер жертвы.

Что может сделать злоумышленник

В случае успешной эксплуатации уязвимости хакер получает возможность удаленно выполнить произвольный код с привилегиями пользователя, открывшего вредоносный документ. Например, если пользователь имел права администратора, злоумышленник может полностью перехватить управление над устройством жертвы и безнаказанно творить всяческий беспредел: устанавливать программы, просматривать, изменять и удалять данные или создавать новые учетные записи.

Follina в дикой природе

Исследователи безопасности выяснили, что киберпреступники про Фоллину знают и активно применяют ее в реальных атаках. Данная уязвимость уже использовалась для кибератак на пользователей из России, Белоруссии и Тибета.

Что делать?

Итак, официального патча для уязвимости пока нет. Злоумышленники устроили с Фоллиной настоящий киберпреступный шабаш и останавливаться на достигнутом не намерены. Что делать в такой ситуации? Как не стать жертвой хакерских атак?

Не открывайте файлы, полученные из недостоверных источников, и внимательно проверяйте почтовые адреса отправителей.

Пока разрабатывается обновление, Microsoft рекомендует  всем продвинутым пользователям и администраторам Windows воспользоваться обходными решениями – отключить протокол MSDT URL.

Однако отметим, что предложенный вариант является временным решением проблемы. Обязательно установите обновление, устраняющее уязвимость Follina, после того как оно будет выпущено Microsoft.