Na przełomie maja i czerwca 2022 wyspecjalizowane serwisy doniosły o nowej krytycznej podatności Follina - wykorzystującym lukę zero-day  w systemach Microsoftu.

Follina dotyczy pakietu Microsoft Office i pozwala atakującemu na wykonanie złośliwego kodu na komputerze ofiary, poprzez wykorzystanie mechanizmu wzorców dokumentów tekstowych (Word template). Obecnie nie wiadomo, czy podatność ta została wykorzystana do realizacji faktycznych ataków.

To co czyni Follinę odmienną od wielu innych podatności związanych z możliwościami wykorzystania makr czy skryptów pakietu Office, to właśnie wykorzystanie mechanizmu zdalnych wzorców i brak wykorzystania klasycznych makr, które są blokowane przez popularne pakiety ochrony endpoint. W przypadku tej podatności wzorzec zostaje "zmuszony" do załadowania strony HTML, która poprzez ms-msdt (mechanizm  służący do zbierania danych diagnostycznych) wywołuje kod PowerShell-a.

Tego typu podatności pokazują jak ważne jest zapewnienie odpowiedniej jakości ochrony - Follina z założenia nie mogła zostać wykryta przez typowe oprogramowanie AV, także takie, które rozpoznaje i blokuje makra w dokumentach Word-a. Może być jednak zablokowana przez współczesne pakiety XDR, które rozpoznają podjerzane zachowanie związane np. z pobieraniem z sieci skryptów PowerShell-a.

Więcej informacji o ataku Follina znajduje się tutaj: https://threatpost.com/zero-day-follina-bug-lays-older-microsoft-office-versions-open-to-attack/179756/

Wysyp nowych technologii IT nawet ekspoertów pozostawia czasami w rozterce co do znacznia różnorodnych akronimów i tzw. "buzz-words" - w nowym artykule staramy się rzucić nieco światła na niektóre popularne skróty związane z technologiami ochrony systemów endpoint.

Rosyjska inwazja na Ukrainie rozgrywa się także na froncie cybernetycznym. Uwaga opinii publicznej skupiona jest głónie na działaniach grupy Anonymous, jednak znaczna część innych działań w obszarze "Cyber" nie jest szeroko podawana do publicznej wiadomości. Znane są np. konsekwencji ataku hakerskiego na terminale satelitarne ViaSat oraz (udaremniona) próba zainfekowania na wielką skalę wykorzystywanych przez rząd ukraiński systemów Windows. Wiele interesujacych informacji na ten temat znajdziemy na stronach naszego partnera - firmy Sentinel One, który posiada specjalny serwis poswiecony aspektom wojny cybernetycznej Rosja - Ukraina. Serwis dostępny jest TUTAJ.

Mallware bezplikowy (fileless malware) to złośliwe oprogramowanie, które atakuje system wyłącznie poprzez standardowe funkcje i narzędzia systemowe, bez instalacji własnych plików. Z racji swoich założeń jest wyjątkowo trudny do wykrycia i przez to szczególnie niebezpieczny.

Techniki stosowane przez mallware bezplikowy to:

• zestawy eksploitów ("exploit kits")
• przejęte narzędzia systemowe
• instalacja w rejestrze  systemu Windows
• instalacja wyłacznie w pamięci  RAM ("memory-only malware")
• wykorzystanie skradzionych poświadczeń