- Ründajad leidsid teie arvutis uue viisi, jättes kõik teie andmed paljastatuks.
- Seekord kasutasid geniaalsed küberkurjategijad Microsoft Office'i kriitilist plaastrit.
Selles pidevalt kasvavas ja muutuvas võrgumaailmas on ohud muutunud nii tavaliseks ja neid on nii raske tuvastada, et kaitstuna on vaid vaja olla ründajatest sammu võrra ees.
Küberjulgeolekufirma avaldas uued uuringutulemused Sophos, näitavad, et pahatahtlikud kolmandad osapooled suutsid kasutada avalikult kättesaadavat Office'i kontseptsiooni tõestust ja relvastada seda Formbooki pahavara edastamiseks.
Väidetavalt suutsid küberkurjategijad luua ärakasutamise, mis suudab mööda minna Microsoft Office'i kriitilisest koodi kaugkäivitamise haavatavusest, mis sai paigatud selle aasta alguses.
Ründajad mööduvad kriitilisest Microsoft Office'i paigast ärakasutamise abil
Te ei pea ajas nii kaua tagasi minema, et aru saada, kust see kõik alguse sai. Septembris andis Microsoft välja paiga, et takistada ründajatel Wordi dokumenti manustatud pahatahtlikku koodi käivitamast.
Tänu sellele veale laaditakse automaatselt alla Microsofti kabineti (CAB) arhiiv, mis sisaldab pahatahtlikku käivitatavat faili.
See saavutati algse ärakasutamise ümbertöötamisega ja pahatahtliku Wordi dokumendi paigutamisega a-sse spetsiaalselt koostatud RAR-arhiiv, mis pakub ärakasutamise vormi, mis suudab edukalt vältida originaal plaaster.
Lisaks toimetati seda viimast ärakasutamist ohvritele rämpsposti abil umbes 36 tundi, enne kui see täielikult kadus.
Sophose turvateadlased usuvad, et ärakasutamise piiratud eluiga võib tähendada, et tegemist oli kuivkäivitusega eksperimendiga, mida saab kasutada tulevastes rünnakutes.
Rünnaku paigale eelnenud versioonid hõlmasid Microsofti kabinetifaili pakitud pahatahtlikku koodi. Kui Microsofti plaaster selle lünga sulges, avastasid ründajad kontseptsiooni tõendi, mis näitas, kuidas saate pahavara koondada erinevasse tihendatud failivormingusse, RAR-arhiivi. RAR-arhiive on pahatahtliku koodi levitamiseks varemgi kasutatud, kuid siin kasutatav protsess oli ebatavaliselt keeruline. Tõenäoliselt õnnestus see ainult seetõttu, et plaastri pädevus oli väga kitsalt määratletud ja kuna WinRAR programm, mille kasutajad peavad avama RAR on väga veakindel ja ei näi pahandavat, kui arhiiv on näiteks valesti vormindatud, kuna seda on rikutud.
Samuti avastati, et vastutavad ründajad olid loonud ebanormaalse RAR-arhiivi, mille ees oli PowerShelli skript, mis sisaldas arhiivi salvestatud pahatahtlikku Wordi dokumenti.
Selle ohtliku RAR-arhiivi ja selle pahatahtliku sisu levitamiseks lõid ründajad ja levitas rämpsposti e-kirju, mis kutsusid ohvreid Wordile juurdepääsuks RAR-faili lahti pakkima dokument.
Seetõttu pidage seda selle tarkvaraga tegelemisel ja kui miski tundub vähegi kahtlane.
Turvalisus peaks olema meie kõigi jaoks Internetiga suhtlemisel prioriteet number üks. Lihtsad toimingud, mis võivad esmalt tunduda kahjutud, võivad vallandada tõsised sündmuste ja tagajärgede ahelad.
Kas teie olite ka nende pahavararünnakute ohver? Jagage oma kogemusi meiega allpool olevas kommentaaride jaotises.
