21/12/2015

Jak jedna wiadomość (nawet nieprzeczytana) może zainfekować Twój komputer

Technologie Zagrożenia

Co jakiś czas powtarzamy: nigdy nie klikaj podejrzanych odnośników, nie otwieraj plików z nieznanych źródeł, zawsze usuwaj wiadomości wysłane od nieznanych nadawców. I chociaż wszystkie te porady są wciąż aktualne, mogą być nieskuteczne, jeśli używasz Outlooka – wszystko to nie ochroni Cię przed zagrożeniem BadWinmail. Aby złapać infekcję, nie musisz nawet klikać ani otwierać wiadomości. Po prostu – odbierasz wiadomość i już, nawet nie musisz jej czytać.

badwinmail-FB

Jak to możliwe?

Jeśli znasz program Microsoft Office, prawdopodobnie wiesz, że w jego plikach można osadzać obiekty. Wprawdzie nie każdy, ale ich lista jest całkiem długa. Jest to tzw. technologia OLE (Object Linking lub Embedding).

Okazało się, że technologia ta działa nie tylko w plikach DOC czy XLS, ale także w wiadomościach Outlooka. Okazało się także, że lista wspomnianych wyżej obiektów zawiera oprócz ogólnych rzeczy związanych z MS Office na przykład obiekty Adobe Flash.

Wiesz, dlaczego cyberprzestępcy tak bardzo kochają Flasha? Ponieważ jest w nim mnóstwo luk. Niektóre z nich należą do grupy zero-day, czyli są niezałatane. Luki te mogą zostać wykorzystane do wykonywania na Twoim komputerze rzeczy, których zdecydowanie byś nie chciał.

Jest to znany problem, a większość dostawców walczy z nim tak samo – umożliwiają uruchomienie zawartości Flash w ich programie (na przykład przeglądarce) jedynie w tzw. piaskownicy. Szkodliwy kod może robić w niej wszystko, nawet rozpocząć jakąś fantazyjną cyberapokalipsę.

Chodzi o to, że nie może on wydostać się z piaskownicy, przez co nie wpłynie na nic, co jest poza nią, więc Twoje pliki nie zostaną uszkodzone. Cóż, przynajmniej takie są zamiary — czasami ten trik nie działa, ale to inna historia.

Jeśli czekasz na trzecie „okazało się”, proszę bardzo. Okazało się, że Outlook nie używa takiej piaskownicy dla potencjalnie niebezpiecznych obiektów i uruchamia wszystko w normalnym trybie. Oznacza to, że szkodliwy kod znajdujący się w osadzonych obiektach może działać tak samo jak każdy inny program zainstalowany na Twoim komputerze.

Problem nie kończy się na tych trzech złych wiadomościach. Outlook jest na tyle uczynny, że otwiera najnowszego e-maila przed Twoją. Dlatego gdy szkodliwa wiadomość z załączonym exploitem BadWinmail trafi do Twojej skrzynki odbiorczej, jest on wykonywany natychmiast po uruchomieniu Outlooka.

Haifei Li, badacz bezpieczeństwa i odkrywca luki, stworzył tzw. dowód koncepcji możliwego ataku wykorzystującego to zagrożenie, które nazwał BadWinmail. Opisał to w zaskakująco prostych słowach w swoim badaniu.

Utworzył nawet ten stosunkowo krótki film, idealnie wyjaśniający zasadniczą ideę działania tej luki:

Aby zrozumieć powagę sytuacji, wyobraź sobie, że ktoś uruchamia na Twoim komputerze jakiś program z rodziny ransomware.

Dobra wiadomość jest taka, że Haifei Li zgłosił lukę do Microsoftu i firma naprawiła ten błąd 8 grudnia. Zła wiadomość jest taka, że ludzie, którzy nie aktualizują swoich programów na bieżąco, wciąż są podatni. A wielu z nich będzie ją miało przez tygodnie, miesiące, a nawet lata.

Ponieważ raport został upubliczniony, wielu cyberprzestępców z pewnością spróbuje użyć tej luki do zainfekowania tysięcy, o ile nie milionów komputerów w ten sposób. A jeśli zastanawiałeś się, czy trzeba od razu aktualizować swoje oprogramowanie i używać oprogramowania bezpieczeństwa, myślę, że teraz masz dobry powód, aby odpowiedzieć na to twierdząco.