Luka typu zero-day umożliwia cyberprzestępcom wykonywanie ukrytych złośliwych poleceń na komputerze ofiary za pomocą zmodyfikowanych plików skrótów systemu Windows lub łączy powłoki (.LNK). Jest ona monitorowana przez Zero Day Initiative (ZDI), stworzoną przez doskonale znaną z rozwiązań bezpieczeństwa firmę Trend Micro.
Co grozi systemom Windows?
Badacze bezpieczeństwa Peter Girnus i Aliakbar Zahravi poinformowali w swoim raporcie, że “ataki wykorzystują ukryte argumenty wiersza poleceń w plikach .LNK do wykonywania złośliwych ładunków, co komplikuje wykrywanie. Wykorzystanie luki ZDI-CAN-25373 naraża organizacje na znaczne ryzyko kradzieży danych i cybernetycznego szpiegostwa”. Konkretnie działa to tak, że następuje uzupełnienie argumentów znakami spacji (0x20), tabulatora poziomego (0x09), nowego wiersza (0x0A), tabulacji pionowej (\x0B), nowego formularza (\x0C) i powrotu (0x0D), aby uniknąć wykrycia.
Do tej pory odkryto blisko aż 1000 artefaktów plików .LNK wykorzystujących ZDI-CAN-25373, przy czym większość próbek powiązano z Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) i ScarCruft (Earth Manticore). Spośród sponsorowanych przez państwa hakerów, niemal połowa grup pochodzi z Korei Północnej. Dane telemetryczne wskazują, że głównymi celami ataków wykorzystujących tę lukę stały się rządy, podmioty prywatne, organizacje finansowe, ośrodki analityczne, dostawcy usług telekomunikacyjnych oraz agencje wojskowe/obronne zlokalizowane w Stanach Zjednoczonych, Kanadzie, Rosji, Korei Południowej, Wietnamie i Brazylii.
Czytaj też: Unia Europejska na poważnie wzięła się za cyberbezpieczeństwo
Rzecznik Microsoftu pochwalił pracę ZDI, pociesza także, że Microsoft Defender w Windows ma wdrożone wykrywanie i blokowanie tej aktywności zagrożenia, a Smart App Control zapewnia dodatkową warstwę ochrony poprzez blokowanie złośliwych plików z Internetu. Dlatego uznaje problem za mało poważny i nie planuje udostępnienia specjalnej poprawki w celu jego likwidacji.
Warto zauważyć, że .LNK znajduje się na liście niebezpiecznych rozszerzeń plików blokowanych w produktach, takich jak Outlook, Word, Excel, PowerPoint i OneNote. W rezultacie próba otwarcia takich plików pobranych z sieci automatycznie uruchamia ostrzeżenie bezpieczeństwa, które zaleca użytkownikom, aby nie otwierali plików z nieznanych źródeł.
Microsoft podkreślił ponadto, że metoda opisana przez ZDI ma ograniczone zastosowanie praktyczne dla atakujących, a kod skanujący zawartość programu Microsoft Defender jest w stanie skanować te pliki i rozpoznawać technikę umożliwiającą identyfikację złośliwych plików. Dlatego Twój Windows powinien być bezpieczny.