Miért veszélyes az előnézet funkció?
Sok felhasználó nincs tisztában vele, hogy már a fájl előnézetének megtekintése is támadási felületet jelent. A támadónak elég egy rosszindulatú fájlt eljuttatnia a célpont eszközére: ha a felhasználó csak rákattint, hogy megnézze az előnézetet, máris elindulhat a támadás — anélkül, hogy ténylegesen megnyitná vagy futtatná a fájlt. Ez különösen veszélyes, hiszen nincs szükség további megtévesztésre vagy meggyőzésre, az előnézet automatikus működése miatt a támadás szinte azonnal lezajlik.
Nem elhanyagolható tényező, hogy több támadási mód a Windows által használt NTLM-protokoll sebezhetőségét használja ki. Az NTLM-hash-ek kiszivároghatnak az előnézet során — elég, ha a dokumentum külső erőforrást hív meg. Ez akár azt is eredményezheti, hogy a Windows magától megpróbál bejelentkezni egy támadó szerverére a helyi felhasználó nevében.
Mit jelent ez a felhasználók számára?
A legtöbb embernek nincs teendője, az új védelem automatikusan aktiválódik az októberi biztonsági frissítés telepítése után. Az egyetlen észrevehető változás az lesz, hogy a letöltött fájlokat — például e-mail-mellékletként vagy böngészőben letöltött dokumentumokat — nem lehet azonnal előnézetben megtekinteni. Előfordulhat, hogy a teljes működéshez egyszer ki kell jelentkezni, majd visszalépni a Windowsba.
Amennyiben valaki mégis szeretné megnézni a fájl tartalmát, előbb meg kell nyitnia, és a biztonsági figyelmeztetésnél jóvá kell hagynia, hogy nem megbízható forrásból származik — pontosan úgy, ahogy a fájlok megnyitásánál eddig is történt.
Ezzel szemben korábban a rendszer néha hibásan kezelte a fájlok biztonsági zónáit, és előfordulhatott, hogy átnevezett vagy másolt, elvileg megbízhatatlan forrásból származó fájlok gond nélkül működtek előzetes figyelmeztetés nélkül.
A védelem kihívásai és hiányosságai
Fontos szempont, hogy a lépés alapvetően csak tüneti kezelés, nem a probléma gyökerét oldja meg. Szakértők szerint az ideális megoldás a teljes előnézeti rendszer hálózattól való elszigetelése lenne (például sandbox használata), illetve annak biztosítása, hogy a fájlformátumokat értelmező kód ellenőrzött és biztonságos legyen. Azonban az előnézeti funkcióhoz független fejlesztők által készített kiegészítők is használhatók, így lehetetlen minden variáns teljes biztonságát garantálni.
Ráadásul a Windows sokféle, néha elavult fájltípust is támogat, amelyek bármelyike tartalmazhat apró, nehezen észrevehető hibákat vagy sebezhetőségeket. Az Apple és a Linux rendszerei sem mentesek a hasonló támadásoktól; mindkét oldalon akadtak már biztonsági problémák az előnézettel kapcsolatban.
Miért nem oldják meg véglegesen?
Sokan teszik fel a kérdést, hogy miért nem lehet egyszerűen blokkolni minden külső (például hálózati) kapcsolatot az előnézet közben, vagy miért nem auditálják alaposabban a fájlformátumokat kezelő kódokat. Valójában az előnézeti funkció rendkívül összetett: több száz fájltípus kezelése, kiegészítők támogatása, speciális hálózati kapcsolatok — mind hatalmas támadási felületet jelent.
Az sem jelent megoldást, ha egyszerűen figyelmen kívül hagyják a külső forrásokat: már a hash-ek (azaz jelszólenyomatok) automatikus továbbítása is elegendő komoly bajokhoz. Ezek a hash-ek bár titkosítva vannak, a támadó számára gyakorlatilag a jelszavakkal egyenértékűek lehetnek. Ebből kifolyólag nem elég csak a külső hálózati elérhetőséget blokkolni.
Van kiút? Mit tehetsz a biztonságért?
Az igazi védelem réteges megközelítést igényel: a letöltött fájlok előnézetének akadályozása csak az egyik szint. Fontos letiltani Windows alatt az SMB-alapú jelszó-hash küldést azáltal, hogy a tűzfalban blokkolod a 139-es és 445-ös TCP-portot. Ez hosszú távon többet segíthet, mint a fájl-előnézeti funkciók ideiglenes tiltása.
Összességében a Microsoft lépése csökkenti a véletlen vagy automatikus támadások lehetőségét. Így a felhasználóknak kisebb az esélyük arra, hogy egy letöltött fájl puszta előnézetével kompromittálódjanak. A tökéletes biztonság azonban csak akkor érhető el, ha minden szinten résen vagy: gondoskodj az operációs rendszer, a hálózat és a szoftveres környezet naprakész, tudatos beállításáról.
