Уязвимость, получившая идентификатор CVE-2018-8140 была исправлена в июньский «вторник обновлений». Как описал в своей статье Кочин, атакующему достаточно сказать «Hey Cortana», после чего голосовой помощник активируется и будет готов воспринимать команды. Если попросить Cortana что-нибудь записать, откроется окно поиска. Далее можно попросить голосового помощника выполнить поиск по файловой системе. Ниже приведены иллюстрации из исследования Кочина.
Как видим, в данном примере атакующий задал в поиске «pass», и система услужливо предложила файлы, содержащие слово password. Особую опасность представляет то, что при наведении на результаты поиска, ОС выдаст местоположение файла и даже его содержимое. Таким образом можно узнать записанный пользователем пароль.
Но и это ещё не всё. После активации голосового помощника, система предоставляет атакующему возможность пользоваться правой кнопкой мыши. А это, в свою очередь, даёт возможность запуска файла от имени администратора или открытии папки с этим файлом.
Таким образом, поскольку атакующий имеет физический доступ к компьютеру (без этого условия сценарий атаки невозможен), он может присоединить к компьютеру носитель с вредоносным файлом. Операционная система выдаст сообщение о присоединении нового диска, в котором укажет его букву. Это позволит нарушителю узнать путь к своему файлу. Но даже и без сообщения он может запустить поиск файла на компьютере. После этого достаточно запустить файл.
Этим возможности для атаки не исчерпываются. Если атакующий проявит немного упорства, он сможет запустить и скрипт PowerShell, что даёт возможность менять настройки ОС. Кочин описывает следующий сценарий атаки:
- Вредоносный скрипт должен быть помещен в то место, которое будет проиндексировано операционной системой. Например, внешний накопитель или сетевая папка;
- После достаточно сделать запрос «Hey Cortana, PS1», система выдаст в результате поиска вредоносный скрипт. Однако просто так запустить его в Windows PowerShell не получится (видимо, в Microsoft всё-таки думают о безопасности). В меню, выводимом по щелчку правой кнопки мыши, нет необходимого пункта, а щелчок левой кнопкой мыши откроет файл в блокноте;
- Далее нужно выполнить поисковый запрос «Hey Cortana, txt», который отобразит как приложение Блокнот, так и последние документы, открытые этим приложением. Поскольку файл с вредоносным скриптом только что открывался Блокнотом, он отобразится в результатах поиска. Здесь контекстное меню уже будет отличаться.
По последнему пункту стоит отметить, что возможность запуска скрипта есть в разделе последних документов, но не в разделе Документы.
Хотя Microsoft уже и выпустила необходимый патч, в целях безопасности лучше отключать голосового помощника при заблокированном компьютере.