Follina, nová hrozba pro počítače s Windows. Hackerům stačí, když otevřete dokument Word

Martin Bednář 2. 6. 2022 Článek je více než jeden rok starý

Ještě před pár dny měli i kyberbezpečnostní odborníci za to, že využít dokument Word k útoku a následně ke vzdálenému ovládnutí počítače není možné. Když ale před pár dny, 27. května, identifikovala japonská skupina „nao_sec“, což je anonymní tým pro výzkum kybernetické bezpečnosti, podivně vypadající dokument aplikace Word, nahraný z IP adresy v Bělorusku, svůj názor změnili.

V italské obci Follina se nachází stejnojmenné opatství postavené v roce 1170. Obec s necelými čtyřmi tisíci obyvatel ale od nynějška bude známější především kvůli pojmenování nové hrozby pro uživatele počítačů s programy Microsoft Office. Ilustrační foto: Lawrence Murray from Perth, Australia - Abbey, CC BY 2.0, https://commons.wikimedia.org/w/index.php?curid=11781570

Ukázalo se, že jde o tzv. zranitelnost nultého dne v sadě Microsoft Office a/nebo systému Windows. Tzv. útok nultého dne (zero-day attack, pozn. red.) je v informatice označení útoku (či hrozby), který se v počítači snaží využít zranitelnosti používaného software a jenž ještě není obecně známý, resp. neexistuje před ním obrana, ať už formou aktualizace systému počítače či konkrétního software.

Dodržujte následující rady specialistů:
1. Nikdy neotvírejte neočekávané dokumenty, ani když jsou od známých odesílatelů.
2. Pokud to není nezbytně nutné, nevypínejte chráněný režim u dokumentů, které pochází z internetu nebo e-mailu.
3. Neotvírejte soubory s příponou „.rtf“, které pocházejí z internetu.
4. Používejte takové bezpečnostní řešení, které vás ochrání i před škodlivými soubory a zajistí, že se nebudete muset bát kliknout na dokumenty.

Odborný server Doublepulsar.com, který hrozbu pojmenoval „Follina“ podle číselného kódu 0438 v podezřelém wordovém dokumentu. „Já tomu říkám Follina, uvedené číslo je totiž směrové číslo obce Follina v Itálii,“ vysvětlil autor článku.

Follina se nachází v provincii Treviso v italském regionu Benátsko, asi 60 km severozápadně od Benátek a asi 35 km severozápadně od Trevisa.

Podstatnější je, jak dále uvedl, že poté, co byl Microsoftu už v dubnu letošního roku nahlášen podezřelý soubor s tématem „Pozvánka na rozhovor s rádiem Sputnik“.

Ten byl zaměřen na uživatele v Rusku a který zneužíval zranitelnost „Follina“, výše zmíněná společnost údajně rozhodla, že „nejde o bezpečnostní problém“. Doublepulsar.com uvádí i několik další příkladů využití „Follina“.

Jak „Follina“ funguje, vysvětlil redakci bezpečnostní inženýr a regionální ředitel kyberbezpečnostní společnosti Check Point Peter Kovalčík: „Stačí, aby oběť jen otevřela škodlivý dokument Word, a útočníci získají vzdálený přístup k počítači, který mohou zcela ovládnout.“

Psali jsme

Kybernetických útoků přibylo o pětinu. Budou ještě častější a nebezpečnější

Dokument využívá funkci vzdálené šablony aplikace Word k načtení souboru HTML ze vzdáleného webového serveru, který následně využívá protokol MIcrosoftu k načtení kódu a spuštění prostředí PowerShell.

„Zranitelné jsou verze Microsoft Office 2013, 2016, 2019, 2021 a některé verze Office, které jsou součástí předplatného Microsoft 365 v systémech Windows 10 a Windows 11,“ informoval bezpečnostní expert. Takže, zdá se, že pokud používáte starší verze MS Office, například tu z roku 2010, mohlo by vás to před „Follinou“ ochránit.

To, že útočník může na napadeném počítači vzdáleně spouštět škodlivý kód a také získat nad zařízením plnou kontrolu, potvrdili i bezpečnostní odborníci ze společnosti Security Avengers, kteří zranitelnost analyzovali.