Hackeři sdílejí na svých fórech návody, jak lze v systému Windows zneužít bezpečnostní chybu CVE-2021-40444, odhalenou minulý týden v úterý. Umožňují tak ostatním hackerům začít využívat novou zranitelnost při vlastních útocích.
Takzvaná „zero-day“ zranitelnost umožňuje útočníkům vytvářet škodlivé dokumenty, včetně dokumentů Office a RTF, a vzdáleně tak spouštět příkazy na počítači oběti. V tuto chvíli ještě není k dispozici záplata a Microsoft situaci řeší zveřejněním návodů ke zmírnění případných dopadů.
Zero day chyba v MSHTML
„Microsoft prověřuje hlášení o zranitelnosti v MSHTML, umožňující vzdálené spuštění kódu, která se týká systému Microsoft Windows. Je si vědom cílených útoků, které se pokoušejí zneužít tuto zranitelnost pomocí speciálně vytvořených dokumentů Microsoft Office,“ uvádí se ve článku na webu Microsoft Security Response Center.
Navržená opatření fungují tak, že blokují ovládací prvky ActiveX a náhledy dokumentů Word/RTF v Průzkumníkovi Windows. Expertům se však podařilo upravit způsob zneužití tak, aby nepoužíval ActiveX, čímž účinně obcházejí dočasné řešení navržené Microsoftem.
Když byla chyba odhalena, odborníci na bezpečnost rychle našli škodlivé dokumenty používané při útocích. Brzy tyto exploity reprodukovali, upravili je a objevili nový vektor možného útoku. Experti nezveřejnili podrobnosti z obavy, aby je nezneužili hackeři.
Podlí hackeři sdílejí informace
Bohužel hackeři dokázali exploit reprodukovat sami na základě dostupných informací a vzorků škodlivých dokumentů zveřejněných na internetu, Záhy začali sdílet podrobné návody a informace na hackerských fórech. První návody se objevily minulý týden ve čtvrtek, v pátek pak byly zveřejněny další postupy využívající k útoku soubor CAB.
V sobotu, kdy experti začali zveřejňovat další podrobnosti na Githubu a Twitteru, se hackeři podělili o nové detaily o tom, jak využít všechny aspekty bezpečnostní díry. Informace jsou jednoduché a umožňují prakticky komukoli vytvořit vlastní funkční verzi exploitu CVE-2021-40444, včetně serveru Python pro distribuci škodlivých dokumentů a souborů CAB.
Dobrou zprávou je, že od odhalení zranitelnosti dokáže antivirový program Microsoft Defender, ale i další bezpečnostní balíky, odhalit a zablokovat škodlivé dokumenty a soubory CAB používané při tomto způsobu útoku. Uživatelé jsou však stále ohroženi, dokud nebude vydána oficiální aktualizace zabezpečení.