Игнорирование уязвимостей в операционных системах или других программных продуктах – ситуация в принципе невообразимая. Напротив, разработчики всегда стремятся найти источник бреши и как можно скорее его устранить, даже если речь идет о какой-то незначительной утилите. Ведь именно от этого зависит, будут ли пользователи защищены от внешних угроз. Тем более, если речь идет о такой глобальной платформе, как Windows. Но обстоятельства бывают разными, и иногда компании осознанно идут против правил, игнорируя вполне реальные опасности.
Microsoft отказалась устранять уязвимость в Windows с идентификатором ZDI-CAN-25373, которая активно эксплуатируется хакерами с 2017 года. Несмотря на очевидную опасность, компания классифицировала проблему как "несущественную" и решила не выпускать патч с исправлением. Об этом и поговорим сегодня.
Что такое ZDI-CAN-25373 и почему это опасно?
Уязвимость была обнаружена в системе, отвечающей за отображение содержимого файлов ярлыков (.lnk). Благодаря ей злоумышленники могут создать специально подготовленный LNK-объект, который при просмотре его свойств выглядит безопасным, но в действительности может содержать скрытые команды.
Механизм атаки достаточно изощрен: злоумышленники создают файлы .lnk с большим количеством пробельных символов в структуре COMMAND_LINE_ARGUMENTS. Но, если пользователь попытается проверить, свойства такого файла, Windows не сможет корректно отобразить вредоносные аргументы в отведенном для этого месте в интерфейсе.
А, чтобы еще больше усложнить обнаружение вредоносного кода, злоумышленники создают огромные файлы ярлыков размером до 70 МБ. Это не позволяет провести анализ файла стандартными средствами, и пользователи чаще всего отказываются от этой идеи.
Но хуже всего, что для успешной атаки даже не требуется эксплуатировать дополнительные уязвимости или повышать привилегии. Достаточно, чтобы пользователь просто запустил модифицированный файл, а дальше – дело техники.
Вредоносный код способен установить даже бэкдор, предоставляющий хакерам постоянный удаленный доступ к системе. Так злоумышленники получают доступ к конфиденциальным данным жертвы, включая пароли, финансовую информацию и личные документы. Если речь идет о “заражении” корпоративного устройства, то атакующие могут использовать его для дальнейшего распространения вредоносного ПО в сети организации, установки программ-вымогателей, блокирующих доступ к данным, или даже полного уничтожения информации на жестком диске.
В чем опасность уязвимости ZDI-CAN-25373
География атак с использованием ZDI-CAN-25373 охватывает практически весь мир, однако наибольшее количество жертв зафиксировано в Северной Америке, Европе, Восточной Азии и Австралии. Анализ целевых секторов показывает, что под прицелом оказались:
Правительственные учреждения различных уровней
Финансовый сектор, включая традиционные банки и криптовалютные организации
Телекоммуникационные компании
Военные и оборонные структуры
Энергетический сектор
Аналитические центры и неправительственные организации
Такой список целей подтверждает, что уязвимость используется преимущественно для целенаправленных атак на высокоценные мишени, а не для массовых кампаний против рядовых пользователей. То есть в список потенциальных жертв входит неограниченный круг лиц, и это создает серьезную опасность.
Почему Microsoft отказывается исправлять уязвимость?
Исследователи ZDI, обнаружившие уязвимость, действовали по стандартной процедуре: они сообщили о проблеме в Microsoft через официальную программу поиска уязвимостей. Однако в компании заявили, что не планируют выпускать патч в ближайшем будущем.
Такое решение вызывает вопросы, учитывая масштаб и серьезность проблемы. Все-таки речь идет об уязвимости, которая может использоваться для кибершпионажа и кражи данных из критически важных секторов экономики и государственного управления. Поэтому ответственность за защиту сейчас ложится на плечи самих пользователей и, если речь идет о корпоративном сегменте, системных администраторов.
Вот несколько рекомендаций, которые помогут снизить риск успешной атаки:
Будьте бдительны при открытии файлов .lnk, особенно полученных из непроверенных источников или по электронной почте.
Используйте комплексные решения безопасности, такие как Trend Vision One, которые могут обнаруживать и блокировать попытки эксплуатации ZDI-CAN-25373.
Регулярно проверяйте свои системы на наличие подозрительных файлов .lnk, особенно с необычно большим размером.
Обучайте сотрудников распознавать потенциально опасные файлы и не открывать вложения из непроверенных источников.
Уязвимость ZDI-CAN-25373 представляет серьезную угрозу для пользователей Windows, особенно в свете того, что Microsoft не планирует выпускать патч в ближайшем будущем. А активная эксплуатация этой бреши хакерскими группировками по всему миру только усугубляет ситуацию.
В условиях растущей геополитической напряженности и конфликтов можно смело ожидать увеличения сложности атак и использования уязвимостей нулевого дня, поскольку как государства, так и киберпреступники стремятся получить конкурентное преимущество над своими противниками.
Пока официальное исправление не выпущено, пользователям и организациям следует самостоятельно принимать необходимые меры для защиты своих систем. Особенно важно повысить бдительность в отношении файлов-ярлыков и использовать специализированные инструменты безопасности.
Некоторые антивирусные программы уже имеют предустановленную защиту от эксплуатации уязвимости. Однако для полного решения проблемы необходим официальный патч от Microsoft, который, к сожалению, в ближайшее время не ожидается.
