В Windows обнаружили 8-летнюю дыру в безопасности, которую Microsoft не хочет исправлять

[Собака]

Уязвимость можно исправить, но Microsoft не хочет
Игнорирование уязвимостей в операционных системах или других программных продуктах – ситуация в принципе невообразимая. Напротив, разработчики всегда стремятся найти источник бреши и как можно скорее его устранить, даже если речь идет о какой-то незначительной утилите. Ведь именно от этого зависит, будут ли пользователи защищены от внешних угроз. Тем более, если речь идет о такой глобальной платформе, как Windows. Но обстоятельства бывают разными, и иногда компании осознанно идут против правил, игнорируя вполне реальные опасности.

Microsoft отказалась устранять уязвимость в Windows с идентификатором ZDI-CAN-25373, которая активно эксплуатируется хакерами с 2017 года. Несмотря на очевидную опасность, компания классифицировала проблему как "несущественную" и решила не выпускать патч с исправлением. Об этом и поговорим сегодня.

Что такое ZDI-CAN-25373 и почему это опасно?​

Уязвимость была обнаружена в системе, отвечающей за отображение содержимого файлов ярлыков (.lnk). Благодаря ей злоумышленники могут создать специально подготовленный LNK-объект, который при просмотре его свойств выглядит безопасным, но в действительности может содержать скрытые команды.

Механизм атаки достаточно изощрен: злоумышленники создают файлы .lnk с большим количеством пробельных символов в структуре COMMAND_LINE_ARGUMENTS. Но, если пользователь попытается проверить, свойства такого файла, Windows не сможет корректно отобразить вредоносные аргументы в отведенном для этого месте в интерфейсе.

А, чтобы еще больше усложнить обнаружение вредоносного кода, злоумышленники создают огромные файлы ярлыков размером до 70 МБ. Это не позволяет провести анализ файла стандартными средствами, и пользователи чаще всего отказываются от этой идеи.

Но хуже всего, что для успешной атаки даже не требуется эксплуатировать дополнительные уязвимости или повышать привилегии. Достаточно, чтобы пользователь просто запустил модифицированный файл, а дальше – дело техники.

Злоумышленники могут сделать все, что угодно, даже не эскалируя привилегии
Вредоносный код способен установить даже бэкдор, предоставляющий хакерам постоянный удаленный доступ к системе. Так злоумышленники получают доступ к конфиденциальным данным жертвы, включая пароли, финансовую информацию и личные документы. Если речь идет о “заражении” корпоративного устройства, то атакующие могут использовать его для дальнейшего распространения вредоносного ПО в сети организации, установки программ-вымогателей, блокирующих доступ к данным, или даже полного уничтожения информации на жестком диске.

В чем опасность уязвимости ZDI-CAN-25373​

География атак с использованием ZDI-CAN-25373 охватывает практически весь мир, однако наибольшее количество жертв зафиксировано в Северной Америке, Европе, Восточной Азии и Австралии. Анализ целевых секторов показывает, что под прицелом оказались:

• Правительственные учреждения различных уровней
• Финансовый сектор, включая традиционные банки и криптовалютные организации
• Телекоммуникационные компании
• Военные и оборонные структуры
• Энергетический сектор
• Аналитические центры и неправительственные организации

Такой список целей подтверждает, что уязвимость используется преимущественно для целенаправленных атак на высокоценные мишени, а не для массовых кампаний против рядовых пользователей. То есть в список потенциальных жертв входит неограниченный круг лиц, и это создает серьезную опасность.

Почему Microsoft отказывается исправлять уязвимость?​

Исследователи ZDI, обнаружившие уязвимость, действовали по стандартной процедуре: они сообщили о проблеме в Microsoft через официальную программу поиска уязвимостей. Однако в компании заявили, что не планируют выпускать патч в ближайшем будущем.

Такое решение вызывает вопросы, учитывая масштаб и серьезность проблемы. Все-таки речь идет об уязвимости, которая может использоваться для кибершпионажа и кражи данных из критически важных секторов экономики и государственного управления. Поэтому ответственность за защиту сейчас ложится на плечи самих пользователей и, если речь идет о корпоративном сегменте, системных администраторов.

Говорят, что большинство атак исходит с этих территорий. Поверим?
Вот несколько рекомендаций, которые помогут снизить риск успешной атаки:

1. Будьте бдительны при открытии файлов .lnk, особенно полученных из непроверенных источников или по электронной почте.
2. Используйте комплексные решения безопасности, такие как Trend Vision One, которые могут обнаруживать и блокировать попытки эксплуатации ZDI-CAN-25373.
3. Регулярно проверяйте свои системы на наличие подозрительных файлов .lnk, особенно с необычно большим размером.
4. Обучайте сотрудников распознавать потенциально опасные файлы и не открывать вложения из непроверенных источников.

Уязвимость ZDI-CAN-25373 представляет серьезную угрозу для пользователей Windows, особенно в свете того, что Microsoft не планирует выпускать патч в ближайшем будущем. А активная эксплуатация этой бреши хакерскими группировками по всему миру только усугубляет ситуацию.

В условиях растущей геополитической напряженности и конфликтов можно смело ожидать увеличения сложности атак и использования уязвимостей нулевого дня, поскольку как государства, так и киберпреступники стремятся получить конкурентное преимущество над своими противниками.

Пока официальное исправление не выпущено, пользователям и организациям следует самостоятельно принимать необходимые меры для защиты своих систем. Особенно важно повысить бдительность в отношении файлов-ярлыков и использовать специализированные инструменты безопасности.

Некоторые антивирусные программы уже имеют предустановленную защиту от эксплуатации уязвимости. Однако для полного решения проблемы необходим официальный патч от Microsoft, который, к сожалению, в ближайшее время не ожидается.

Для просмотра ссылки необходимо нажать Вход или Регистрация