Windows Notepad програмын алсын зайнаас код гүйцэтгэх эмзэг байдал

Windows Notepad App Remote Code Execution (RCE)-ийн чухал сул талыг илрүүлсэн нь халдагчид тусгайлан боловсруулсан файлыг нээж хэрэглэгчдийг хууран мэхлэх замаар нөлөөлөлд өртсөн системүүд дээр дурын кодыг ажиллуулах боломжийг олгодог. Энэхүү эмзэг байдал хэрхэн ажилладаг, мөн бизнесийн дэд бүтцээ хэрхэн хамгаалах талаар ойлгох нь өнөөгийн аюул заналхийллийн орчинд үйл ажиллагаа явуулж буй аливаа байгууллагад нэн чухал юм.

Windows Notepad-ийн алсын кодыг гүйцэтгэхэд яг ямар эмзэг байдаг вэ?

Microsoft Windows-ийн бүх хувилбарт нийлсэн хор хөнөөлгүй, нүцгэн текст засварлагч гэж тооцогддог Windows Notepad нь түүхэнд аюулгүй байдлын ноцтой алдаа гаргахад дэндүү энгийн гэж тооцогддог байв. Энэ таамаг маш буруу болох нь батлагдлаа. Windows Notepad App Remote Code Execution-ийн сул тал нь Notepad нь тодорхой файлын форматыг задлан шинжилж, текстийн агуулгыг үзүүлэх явцад санах ойн хуваарилалтыг зохицуулдаг сул талуудыг ашигладаг.

Үндсэндээ энэ ангиллын эмзэг байдлын хувьд Notepad нь хортой бүтэцтэй файлыг боловсруулах үед үүсдэг буфер хэт ихэссэн эсвэл санах ойн эвдрэлийн алдаатай холбоотой байдаг. Хэрэглэгч ихэвчлэн хор хөнөөлгүй .txt эсвэл бүртгэлийн файлын дүрд хувирсан боловсруулсан баримт бичгийг нээх үед халдагчийн бүрхүүлийн код нь одоогийн хэрэглэгчийн сессийн хүрээнд ажилладаг. Notepad нь нэвтэрсэн хэрэглэгчийн зөвшөөрлөөр ажилладаг тул халдагчид нууц файлууд болон сүлжээний нөөцөд унших/бичих эрх зэрэг тухайн бүртгэлийн хандалтын эрхийг бүрэн хянах боломжтой.

Microsoft нь сүүлийн жилүүдэд Windows 10, Windows 11 болон Windows Server хувилбаруудад нөлөөлдөг CVE-ийн хүрээнд каталогжуулсан эмзэг байдлын дагуу Notepad-тэй холбоотой аюулгүй байдлын хэд хэдэн зөвлөмжийг засварласан Мягмар гарагийн нөхцлөөр авч үзсэн. Механизм нь тууштай байна: задлан шинжлэх логик алдаа нь стандарт санах ойн хамгаалалтыг давж гарах боломжтой нөхцлийг бүрдүүлдэг.

Бодит нөхцөл байдалд халдлагын вектор хэрхэн ажилладаг вэ?

Довтолгооны хэлхээг ойлгох нь байгууллагууд илүү үр дүнтэй хамгаалалтыг бий болгоход тусалдаг. Ашиглалтын ердийн хувилбар нь урьдчилан таамаглах боломжтой дарааллыг дагадаг:

• Хүргэлт: Халдагчид хортой файл боловсруулж, фишинг имэйл, хорлонтой татаж авах холбоосууд, дундын сүлжээний драйвууд эсвэл эвдэрсэн үүл хадгалах үйлчилгээгээр дамжуулан түгээдэг.
• Гүйцэтгэх триггер: Хохирогч файлыг давхар товшдог бөгөөд энэ нь .txt, .log болон холбогдох өргөтгөлүүдийн Windows файлын холболтын тохиргооны улмаас анхдагчаар Notepad дээр нээгддэг.
• Санах ойн ашиглалт: Notepad-н задлан шинжилдэг систем нь алдаатай өгөгдөлтэй тулгарснаар халдагчийн удирддаг утгууд бүхий чухал санах ойн заагчийг дарж бичихэд бөөгнөрөл эсвэл стек халихад хүргэдэг.
• Shellcode гүйцэтгэл: Удирдлагын урсгалыг суулгагдсан ашигтай ачаалал руу чиглүүлдэг бөгөөд энэ нь нэмэлт хортой програм татаж авах, тогтвортой байдлыг бий болгох, өгөгдлийг гадагшлуулах эсвэл сүлжээгээр хажуу тийш шилжих боломжтой.
• Эрх олголтыг нэмэгдүүлэх (заавал биш): Хэрэв хоёрдогч локал давуу эрх нэмэгдүүлэх мөлжлөгтэй хослуулбал халдагчид стандарт хэрэглэгчийн сешнээс СИСТЕМ-ийн түвшний хандалт руу шилжих боломжтой.

Үүнийг онцгой аюултай болгодог зүйл бол хэрэглэгчийн Notepad-д далд итгэдэг. Гүйцэтгэх боломжтой файлуудаас ялгаатай нь энгийн текстийн баримт бичгүүдийг аюулгүй байдлын талаар сайн мэддэг ажилчид маш ховорхон шалгадаг бөгөөд энэ нь нийгмийн инженерчлэгдсэн файл хүргэлтийг өндөр үр дүнтэй болгодог.

Гол ойлголт:Хамгийн аюултай эмзэг байдал нь интернетэд холбогдсон нарийн төвөгтэй программуудад байдаггүй бөгөөд тэдгээр нь ихэвчлэн байгууллагуудын хэзээ ч аюул заналхийлэл гэж үзэж байгаагүй найдвартай, өдөр тутмын хэрэглүүрүүдэд байдаг. Windows Notepad нь "аюулгүй" программ хангамжийн талаарх хуучин таамаглалууд хэрхэн орчин үеийн халдлага хийх боломжийг бий болгодог тухай сурах бичгийн жишээ юм.

Өөр өөр Windows орчин дахь харьцуулсан эрсдэлүүд юу вэ?

Энэ эмзэг байдлын ноцтой байдал нь Windows-ийн орчин, хэрэглэгчийн эрхийн тохиргоо болон засварын удирдлагын байрлалаас хамаарч өөр өөр байна. Хамгийн сүүлийн үеийн хуримтлагдсан шинэчлэлтүүд болон блок горимд тохируулсан Microsoft Defender бүхий Windows 11 үйлдлийн системтэй аж ахуйн нэгжийн орчин нь хуучин, засварлагдаагүй Windows 10 эсвэл Windows Server инстанцуудыг ажиллуулж байгаа байгууллагуудтай харьцуулахад өртөлтийг эрс багасгадаг.

Windows 11 дээр Microsoft Notepad-ийг орчин үеийн програмын багцаар дахин бүтээж, тодорхой тохиргоонд AppContainer тусгаарлалттай хамгаалагдсан Microsoft Store програм болгон ажиллуулсан. Энэхүү архитектурын өөрчлөлт нь RCE-д хүрсэн ч гэсэн халдагчийн хөлийг AppContainer-ийн хил хязгаараар хязгаарладаг. Гэсэн хэдий ч энэхүү хамгаалагдсан хязгаарлагдмал орчин нь Windows 11-ийн бүх тохиргоонд түгээмэл хэрэглэгддэггүй бөгөөд Windows 10 орчин нь анхдагчаар ийм хамгаалалт авдаггүй.

Автомат Windows шинэчлэлтийг идэвхгүй болгосон байгууллагууд - хуучин програм хангамжийг ажиллуулж байгаа орчинд түгээмэл тохиолддог тохиргоо - Microsoft засваруудыг гаргасны дараа ч удаан хугацаанд нээлттэй хэвээр байна. Хэрэглэгчид локал администраторын эрхээр тогтмол ажилладаг орчинд эрсдэл нэмэгддэг бөгөөд энэ тохиргоо нь хамгийн бага давуу эрхийн зарчмыг зөрчиж байгаа ч жижиг, дунд бизнест үргэлжилсээр байна.

Энэ эмзэг байдлыг бууруулахын тулд бизнесүүд яаралтай ямар арга хэмжээ авах ёстой вэ?

Үр дүнтэй бууруулахын тулд шууд эмзэг байдал болон мөлжлөгийг боломжтой болгодог аюулгүй байдлын үндсэн цоорхойг хоёуланг нь шийдвэрлэх давхаргын хандлагыг шаарддаг:

1. Засваруудыг нэн даруй хэрэглээрэй: Бүх Windows системд хамгийн сүүлийн үеийн аюулгүй байдлын шинэчлэлтүүдийг суулгасан эсэхийг шалгаарай. Гадаад харилцаа холбоо болон файлуудтай харьцаж буй ажилчдын ашигладаг төгсгөлийн цэгүүдийг эрэмбэлэх.
2. Файлын холболтын тохиргоог шалгах: Байгууллага даяар, ялангуяа өндөр үнэ цэнэтэй төгсгөлийн цэгүүд дээр .txt болон .log файлуудад ямар программуудыг анхдагч зохицуулагчаар тохируулсан болохыг шалгаж, хязгаарлах.
3. Хамгийн бага эрхийг хэрэгжүүлэх: Стандарт хэрэглэгчийн бүртгэлээс локал администраторын эрхийг хас. RCE-д хүрсэн ч гэсэн хязгаарлагдмал хэрэглэгчийн эрхүүд халдагчийн нөлөөллийг эрс багасгадаг.
4. Дэвшилтэт төгсгөлийн цэг илрүүлэхийг ашиглах: Төгсгөлийн цэг илрүүлэх, хариу үйлдэл үзүүлэх (EDR) шийдлүүдийг Notepad-ийн үйл явцын үйлдлийг хянах, хүүхэд процесс үүсгэх эсвэл сүлжээний холболтыг тэмдэглэж тохируулах.
5. Хэрэглэгчийн мэдлэгийг дээшлүүлэх сургалт: Ажилчдад энгийн тексттэй файлуудыг хүртэл зэвсэг болгон хувиргаж, өргөтгөлөөс үл хамааран хүсээгүй файлуудад эрүүл эргэлздэг байдлыг бэхжүүлнэ.

Орчин үеийн бизнесийн платформууд таны халдлагын гадаргууг бууруулахад хэрхэн тусалж чадах вэ?

Windows Notepad RCE гэх мэт эмзэг байдал нь илүү гүнзгий үнэнийг онцолж байна: хуваагдмал, хуучин хэрэгсэл нь хуваагдмал аюулгүй байдлын эрсдэлийг бий болгодог. Ажилчдын ажлын станц дээр ажиллаж байгаа нэмэлт ширээний програм бүр боломжит вектор юм. Бизнесийн үйл ажиллагаагаа орчин үеийн, клоуд дээр суурилсан платформ дээр нэгтгэдэг байгууллагууд дотооддоо суулгасан Windows аппликейшнүүдээс хамааралтай байдлаа бууруулж, энэ явцад халдлагын гадаргууг мэдэгдэхүйц багасгадаг.

Mewayz гэх мэт платформууд нь 138,000 гаруй хэрэглэгчдийн итгэмжлэгдсэн 207 модуль бүхий бизнесийн иж бүрэн үйлдлийн систем бөгөөд багуудад CRM, төслийн ажлын урсгал, цахим худалдааны шугамын үйл ажиллагаа, аюулгүй орчин, харилцагчид суурилсан харилцаа холбоо, бүхэл бүтэн харилцаа холбоог удирдах боломжийг олгодог. Бизнесийн үндсэн функцууд нь дотоодод суулгасан Windows программуудаас илүү хатуужуулсан үүлэн дэд бүтцэд амьдардаг бол Notepad RCE гэх мэт эмзэг байдлаас үүсэх эрсдэл өдөр тутмын үйл ажиллагаанд ихээхэн буурдаг.

Байнга асуудаг асуултууд

Хэрэв би Windows Defender-г идэвхжүүлсэн бол Windows Notepad эмзэг хэвээр байх уу?

Windows Defender нь мэдэгдэж буй мөлжлөгт гарын үсэг зурахаас чухал хамгаалалтыг өгдөг боловч энэ нь нөхөөсийг орлохгүй. Хэрэв эмзэг байдал нь тэг өдөр эсвэл Defender-ийн гарын үсгээр хараахан илрээгүй бүдгэрсэн бүрхүүлийн кодыг ашигладаг бол төгсгөлийн цэгийн хамгаалалт дангаараа ашиглалтыг хааж болохгүй. Хамгаалагч нь нэмэлт хамгаалалтын давхарга болж ажиллахын тулд Microsoft-ын аюулгүй байдлын засваруудыг ашиглахыг үргэлж чухалчил.

Энэ эмзэг байдал нь Windows-ийн бүх хувилбарт нөлөөлөх үү?

Тусгай өртөлт нь Windows хувилбар болон засварын түвшнээс хамаарч өөр өөр байдаг. Сүүлийн үеийн хуримтлагдсан шинэчлэлтгүй Windows 10 болон Windows Server орчны эрсдэл өндөр байна. AppContainer-аар тусгаарлагдсан Notepad-тай Windows 11 нь архитектурын зарим бууралтуудтай боловч эдгээрийг бүх нийтээр ашигладаггүй. Анхдагч тохиргоондоо Notepad-г оруулаагүй Server Core суулгацууд өртөлтийг багасгасан. Хувилбарт зориулсан CVE ашиглах боломжтой эсэхийг Microsoft-ын Аюулгүй байдлын шинэчлэлтийн гарын авлагаас үргэлж шалгана уу.

Энэ эмзэг байдлаас болж миний систем аль хэдийн эвдэрсэн эсэхийг яаж мэдэх вэ?

Бүлтгэлийн үзүүлэлтүүд нь notepad.exe-ээр үүсгэгдсэн гэнэтийн хүүхдийн процессууд, Notepad-н үйл явцаас гарсан ер бусын гадагш чиглэсэн сүлжээний холболтууд, сэжигтэй файл нээгдэх үед үүсгэсэн шинэ хуваарьт ажлууд эсвэл бүртгэлийн ажиллуулах түлхүүрүүд, баримт нээх үйл явдлын дараах хэрэглэгчийн бүртгэлийн хэвийн бус үйл ажиллагаа зэрэг орно. Windows-ийн үйл явдлын бүртгэл, ялангуяа Аюулгүй байдал болон Аппликэйшн логуудыг шалгаж, хэрэв боломжтой бол EDR телеметрийн тусламжтайгаар хөндлөн лавлагаа авна уу.

Эмзэг байдлаас түрүүлэхийн тулд сонор сэрэмж, үйл ажиллагааны зөв дэд бүтцийг хоёуланг нь шаарддаг. Mewayz нь таны бизнест үйл ажиллагаагаа нэгтгэх, хуучин ширээний хэрэгслийн хараат байдлыг багасгах найдвартай, орчин үеийн платформыг олгодог бөгөөд энэ нь сард ердөө 19 доллараас эхэлдэг. Mewayz-тэй app.mewayz.com сайтаас танилцаж, хэрхэн ашиглах боломжтойг харна уу бусад хэрэглэгчид өнөөдрийн бизнесийн үр ашигтай үйл ажиллагаа.