Video: Webinar: Automating Patch Tuesday - August 2020 (Oktober 2024)
Microsoft je razkril kritično ničelno ranljivost, kako starejši različici sistema Microsoft Windows in Office ta teden obdelujeta format slike TIFF. Čeprav napako aktivno izkoriščajo v naravi, je družba dejala, da obliž ne bo pripravljen za izdajo Patch torka prihodnji teden.
Hrošč (CVE-2013-3906) omogoča napadalcem, da na daljavo izvršijo kodo na ciljni napravi tako, da uporabnike zavedejo v odpiranje datotek s posebej izdelanimi TIFF slikami, je dejal Microsoft. Ko uporabnik odpre datoteko napada, napadalec pridobi enake pravice in privilegije kot ta uporabnik. To pomeni, da če ima uporabnik skrbniški račun, lahko napadalec dobi popoln nadzor nad strojem. Če uporabnik nima skrbniških pravic, lahko napadalec povzroči le omejeno škodo.
Laboratorij za testiranje AV-TEST je identificiral vsaj osem dokumentov DOCX, vdelanih s temi zlonamernimi slikami, ki se trenutno uporabljajo v napadih.
Prizadeta programska oprema
Ranljivost obstaja v vseh različicah storitve Lync komunikator, Windows Vista, Windows Server 2008 in nekaterih različicah Microsoft Office. Vse naprave Office 2003 in 2007 so ogrožene, ne glede na to, na kateri operacijski sistem je paket nameščen. Office 2010 vpliva, le če je nameščen v operacijskem sistemu Windows XP ali Windows Server 2008, je dejal Microsoft. Videti je, da je Office 2007 edini, ki je trenutno aktiven, glede na svetovanje.
"Do 37 odstotkov poslovnih uporabnikov Microsoft Officea je dovzetnih za to nič dnevno izkoriščanje, " je dejal Alex Watson, direktor varnostnih raziskav pri Websense.
Ta najnovejši ničelni dan je dober primer, kako lahko ranljivosti v starejših različicah programske opreme izpostavijo organizacije resnim napadom. Uporabniki še vedno ne bi smeli uporabljati sistemov Office 2003, Office 2007, Windows XP in Windows Server 2003, ker so že tako stari. "Če bi odstranili to programsko opremo, ta 0-dnevni ne bi obstajal, " je dejal Tyler Reguly, tehnični vodja varnostnih raziskav in razvoja pri Tripwireju. Glede na starost teh aplikacij bi morale organizacije in uporabniki do zdaj že posodobiti.
Napadi v divjini
Medtem ko so napadi v naravi, si je treba zapomniti, da se je do danes večina napadov osredotočila na Bližnji vzhod in Azijo. Microsoft je prvotno dejal, da gre za "ciljne napade, ki poskušajo izkoristiti to ranljivost", varnostni raziskovalci AlienVault, FireEye in Symantec pa so opredelili več napadalnih skupin, ki že uporabljajo ranljivost za nadaljevanje svojih kampanj.
Zdi se, da skupina, ki stoji za operacijo Hangover, kampanjo, osredotočeno na vohunjenje, izkorišča to hrošče za nadaljnje dejavnosti zbiranja informacij, je povedal FireEye na svojem blogu. Jaime Blasco, direktor laboratorija AlienVault Labs, je dejal, da se izkoriščanje uporablja za ciljanje pakistanske obveščevalne službe in vojske. Druga napadalna skupina, ki so jo poimenovali Arx s strani raziskovalcev FireEye, izkorišča podvig za distribucijo trojanskega bančništva Citadel.
Namestitev rešitve
Medtem ko obliž ne bo pripravljen do naslednjega tedna, je Microsoft izdal začasno rešitev FixIt, ki bo rešil težavo. Če imate ranljivo programsko opremo, morate takoj uporabiti FixIt. FixIt onemogoča dostop do slik TIFF, kar pri nekaterih uporabnikih in podjetjih morda ni možnost, ugotavlja Tripwire's.
Spletni razvijalci, grafični oblikovalci in marketinški strokovnjaki, ki delajo s formatom TIFF, bodo morda ugotovili, da lahko svoje delo ovirajo s tem popravkom, redno opozarja. Varnostni strokovnjaki bodo morda težko utemeljevali potrebo po uporabi FixIt v organizacijah, ki veliko delajo s kakovostnimi slikami.
"Ljudje postavljajo v težaven položaj, da preprečijo novo ranljivost ali opravljajo svoje delo, " je rekel redno.
Organizacije lahko namestijo tudi Microsoftov varnostni paket orodij EMET (Enhanced Mitigation Experience Toolkit), saj prepreči izvedbo napada, je zapisala Microsoftova služba za varnostni odziv Elia Florio;
Številni protivirusni in varnostni paketi so že posodobili svoje podpise, da bi odkrili zlonamerne datoteke, ki izkoriščajo to ranljivost, zato morate poskrbeti tudi za posodobitev varnostne programske opreme. Kot vedno bodite previdni pri odpiranju datotek, ki jih niste posebej zahtevali, ali kliku na povezave, če ne poznate vira.
