Microsofti abifaili haavatavus võib suurendada andmepüügirünnaku mõju kõigi Windowsi kasutajate jaoks
Comparitechi teadlased on tuvastanud mitu turvaauku, mis võivad suurendada andmepüügirünnaku mõju kõigile Windowsi kasutajatele, kes töötavad kuni Windows 10 (kaasa arvatud) – hoolimata sellest, et Microsoft on need varem parandanud.
Hiina riiklikult toetatud spionaažirühmitus APT41 on väidetavalt kasutanud turvaauke.
Milles on probleem?
Comparitechi teadlased avastasid mitu Windows 10 turvaauku, mida saab ära kasutada Microsofti abidokumentatsiooni faililaiendi ja nende avamiseks kasutatavate programmide kaudu.
Ründajad võivad meelitada Windowsi kasutajaid alla laadima ja avama pahatahtlikke faile näiteks meililingi või manuse kaudu. Nende failide avamiseks kasutatav Windowsi vaikeprogramm käivitab faili salvestatud koodi, mida saab kasutada rünnaku käivitamiseks.
Windowsi seadme abidokumentatsioon salvestati algselt kompileeritud HTML-failidesse (CHM), mida tähistab.chmfaililaiendit.
Kui klõpsate programmis suvandil „Abi”, laadib see vaatajasse abidokumentatsiooni, mis sarnaneb veebibrauserile koos otsingu, registri ja muude navigeerimisvahenditega.

Microsoft peab nüüd .chm-faile potentsiaalselt ohtlikeks. Tegelikult blokeerib need Microsofti meiliklient Outlook.
Kuid peaaegu igas Windowsi masinas on üks programm, mis avab endiselt .chm-faile, ja see on koht, kuhu meie teadlased oma uurimise keskendusid. Programm nimegaHTML-abimees, mis töötab protsessi nime allhh.exe, saab avada ja käivitada CHM-faile. Kui te pole oma vaikeprogramme muutnud, avaneb CHM-failil klõpsates HtmlHelper ja renderdab selle Internet Explorer 7 abil.
Ründajad võivad paigutada CHM-faili pahatahtlikku sisu ja meelitada ohvreid seda avama. Meie uuringu kohaselt sisaldab HTMLHelper mitmeid turvaauke ja läheb mööda paljudest Windows 10 turvapoliitikatest. Teadlased kinnitasid, et sellised rünnakud töötavad kõigi kaasaegsete Windowsi operatsioonisüsteemidega, sealhulgas Windows 10 uusima versiooniga.
Mis on oht?
Ründajad saavad kaugjuhtimisega teie Windowsi arvutisse sisse logida ja nautida piiramatut juurdepääsu. Halvimal juhul võib see tähendada küberkurjategijaid…
- Püsige läbi oma isiklikke ja tööfaile – avades end identiteedivargustele, väljapressimisele või seksitornimine
- Kasutage lunavara et sind välja lülitada
- Istutage pahavara, näiteks klahvilogija, et avada juurdepääs sellistele teenustele nagu teie Interneti-pangandus
- Kaaperdage oma masin ja kasutage seda ebaausatel eesmärkidel, näiteks cryptojacking
- Käivitage oma võrgus edasisi rünnakuid ja levitage oma kontaktidele pahavara
Kas häkkerid kuritarvitavad HtmlHelperi ja CHM-faile?
Jah!
Pahatahtlikke CHM-faile on kasutanud mitmed suuremad häkkimisrühmad ja arenenud püsiva ohu (APT) organisatsioonid.
Nimelt on Hiinast pärit APT41 sihtinud organisatsioone vähemalt 14 riigis. Nad on riiklikult toetatud ohus osalejad kasutab ohvrite kompromiteerimiseks rutiinselt andmepüüki ja nakatunud CHM-faile . Nende sihtmärkide hulka kuuluvad tervishoiu-, telekommunikatsiooni- ja kõrgtehnoloogiasektorid ning nende eesmärk on sageli varastada intellektuaalomandit.
See pole siiski ainult suured häkkimisrühmad ja kõrgetasemelised sihtmärgid; pahatahtlike CHM-failide kasutamine on hästi dokumenteeritud.
Tüüpiline oda andmepüügi katse oleks meil, millele on lisatud pahatahtlik CHM-fail.

Mida on Microsoft teinud?
Microsoft blokeerib nüüd CHM-failid oma meilikliendis Outlook ja tunnistab, et need on ohtlikud. Kuid CHM-faile avab HtmlHelper vaikimisi enamikus kaasaegsetes Windowsi operatsioonisüsteemides, sealhulgas Windows 10 uusimas versioonis kirjutamise seisuga.
Microsoft lapitud eemaldage mõned haavatavused, mis lubavad häkkeritel kasutada CHM-faile koodi kaugkäivitamiseks juba 2014. aastal. Nende toimingute hulka kuulub ActiveX-i blokeerimine ja CHM-failide avamise keelamine Edge'ist või Internet Explorerist. Kuid meie teadlased leidsid, et nad suutsid siiski reprodutseerida ärakasutusi, mis Microsofti sõnul olid paigatud.
Microsoft ütles Comparitechi teadlastele, et HtmlHelperi haavatavus, millest nad teatasid, 'ei vasta teeninduse turvaauku määratlusele'. Kui Comparitech küsis, miks see nii oli, vastas Microsofti pressiesindaja järgmise väitega:
„Kirjeldatud probleem ei vasta meie teeninduskriteeriumidele, kuna see tugineb sotsiaalsele manipuleerimisele või seadmele, mis on juba ohustatud. Julgustame kliente järgima võrgus häid arvutusharjumusi, sealhulgas olema ettevaatlik veebilehtede linkidel klõpsamisel, tundmatute failide avamisel või failiedastuste vastuvõtmisel.
Kuidas saavad Windowsi kasutajad end kaitsta?
Ärge avage CHM-faile, mida te ei tunne.
Teadlased soovitavad tungivalt organisatsioonidel eemaldada hh.exe (HtmlHelper) kõikidest kliendi- ja serverimasinatest.
Kui arvate, et CHM-fail ei ole pahatahtlik, saate selle enne tavapärast avamist sisu lugemiseks dekompileerida. Kasutage seda käsku:
|_+_|Täiendav tehniline teave
Tõestavad rünnakud, mida meie uurimisrühm suutis täielikult värskendatud Windows 10 masinas reprodutseerida, on järgmised:
- NTLM-räsi leke
- Koodi kaugkäivitamine
- Kolmandatelt osapooltelt failide allalaadimiseks minge mööda süsteemipoliitikatest
… ja veel mitu.
Rünnakute reprodutseerimiseks lõid teadlased seda kasutades pahatahtlikke CHM-faile õpetus Githubis .
Comparitechi teadlased teatasid Microsoftile mitmest CHM-iga seotud haavatavusest, mis leiti Windows 10 HtmlHelperis. Teadlased kasutasid kontseptsiooni tõestust kõigi järgmiste haavatavuste puhul:
NTLM-räsi leke
NTLM ehk NTHash on viis, kuidas Windows krüpteerib ja salvestab arvutites paroole. Tavateksti parooli asemel salvestatakse parooli räsi. Tavaliselt sisestab kasutaja Windowsi sisselogimiseks oma parooli, Windows räsib selle NTLM-i abil ja kui väljund ühtib süsteemi salvestatud räsiga, autenditakse kasutaja ja logitakse sisse.

NTLM-i räsi leke ilmneb siis, kui üks neist räsidest varastatakse. Ründajad saavad seejärel kasutada räsi enda autentimiseks ja õiguste laiendamiseks. Räsi saab kasutada ka räsi jätmise rünnakutes, mille puhul ründaja autentib kaugserveri või -teenuse kasutaja parooli räsi abil, selle asemel, et tavateksti sisestada.
Teadlased leidsid, et häkkerid saavad räsi varastada, kasutades programmi HtmlHelper, mis renderdab sisu Internet Explorer 7-s. IE7-d pole üle kümne aasta värskendatud, kuid see on HtmlHelperi kasutatav vaikevalik ja seda ei saa muuta. Sellel puudub räsi lekke vältimine.
Teadlased reprodutseerisid rünnaku nakatunud CHM-faili abil. Nad kasutasid failis HtmlHelperit, et paljastada NTLM-räsi. Seejärel suutsid teadlased räsi pealt kuulata või saata selle kolmanda osapoole serverisse.
Kaugkäskude täitmine
Ründajad saavad nakatunud htm-faili kasutades sihtmasinas käivitada mis tahes pahatahtliku käsu. Htm-fail teisendatakse CHM-vormingusse, mis täidab käske ilma kasutaja täiendava nõusolekuta.
Teadlased käivitasid kalkulaatori rakenduse CHM-faili kaudu kontseptsiooni tõestuseks:
ActiveX
Microsofti loodud tarkvararaamistik ActiveX on juba ammu aegunud. Kuid kuna HtmlHelper renderdab kõik Internet Explorer 7-s, toetab see endiselt ActiveX-i.
Teadlased võivad käivitada ActiveX-is mis tahes põhikäske ilma kasutaja nõusolekuta. Kuigi mõnel juhul ilmusid turvahoiatused, said kasutajad lihtsalt klõpsataJahjätkama.
Kui see oli veel kasutusel, võimaldas ActiveX veebisaitidel videoid ja mänge manustada ning võimaldas kasutajatel suhelda teatud tüüpi brauseri elementidega, näiteks tööriistaribadega. Kuid Microsoft ei soovita nüüd tungivalt ActiveX-i kasutamist, kuna selle turvaauke saab kasutada andmete varandamiseks, pahavara installimiseks või seadme eemalt kaaperdamiseks.