Ключови изводи
- Microsoft пусна последния Patch вторник за годината.
- Коригира общо 67 уязвимости.
-
Една от уязвимостите помогна на хакерите да представят вредните пакети за надеждни.
В рамките на декемврийската корекция на Microsoft във вторник е поправка за неприятна малка грешка, която хакерите активно използват, за да инсталират опасен зловреден софтуер.
Уязвимостта позволява на хакерите да подмамят потребителите на настолни компютри да инсталират вредни приложения, като ги маскират като официални. От техническа гледна точка грешката позволява на хакерите да управляват вградената функция на Windows App Installer, наричана още AppX Installer, за да подправят легитимни пакети, така че потребителите доброволно да инсталират злонамерени.
„Обикновено, ако потребителят се опита да инсталира приложение, съдържащо злонамерен софтуер, като подобен на Adobe Reader, то няма да се покаже като проверен пакет, където се проявява уязвимостта,“обясни Кевин Брийн, Директор за изследване на кибернетични заплахи в Immersive Labs, до Lifewire по имейл. „Тази уязвимост позволява на атакуващ да покаже своя злонамерен пакет, сякаш е легитимен пакет, валидиран от Adobe и Microsoft.“
Змийско масло
Официално проследен от общността по сигурността като CVE-2021-43890, бъгът по същество направи злонамерените пакети от ненадеждни източници да изглеждат безопасни и надеждни. Точно поради това поведение Брийн вярва, че тази фина уязвимост на измама на приложения е тази, която засяга най-много потребителите на настолни компютри.
"Той е насочен към човека зад клавиатурата, позволявайки на атакуващ да създаде инсталационен пакет, който включва зловреден софтуер като Emotet", каза Брийн, добавяйки, че "нападателят след това ще изпрати това на потребителя чрез имейл или връзка, подобно на стандартните фишинг атаки." Когато потребителят инсталира злонамерения пакет, той ще инсталира злонамерения софтуер вместо него.
Докато пуснаха корекцията, изследователите по сигурността в Microsoft Security Response Center (MSRC) отбелязаха, че злонамерените пакети, предадени с помощта на този бъг, имат по-малко сериозно въздействие върху компютри с потребителски акаунти, които са конфигурирани с по-малко потребителски права, в сравнение с потребители, които са работили с компютъра си с администраторски привилегии.
"Microsoft е наясно с атаки, които се опитват да експлоатират тази уязвимост, като използват специално създадени пакети, които включват фамилията зловреден софтуер, известна като Emotet/Trickbot/Bazaloader," посочи MSRC (Microsoft Security Research Center) в публикация за актуализация на защитата.
Завръщането на дявола
Наричан като „най-опасният злонамерен софтуер в света“от правоприлагащата агенция на Европейския съюз, Европол, Emotet е открит за първи път от изследователи през 2014 г. Според агенцията, Emotet се е развил, за да се превърне в много по-голяма заплаха и дори предлагани за наемане на други киберпрестъпници, за да помогнат за разпространението на различни видове зловреден софтуер, като рансъмуер.
Правоприлагащите органи най-накрая спряха царството на терора на злонамерения софтуер през януари 2021 г., когато конфискуваха няколкостотин сървъра, разположени по целия свят, които го захранваха. Въпреки това, наблюденията на MSRC изглежда предполагат, че хакерите отново се опитват да възстановят киберинфраструктурата на злонамерения софтуер, като използват вече коригираната уязвимост за подправяне на приложения на Windows.
Като помоли всички потребители на Windows да закърпят системите си, Брийн също им напомня, че докато корекцията на Microsoft ще ограби хакерите от средствата за прикриване на злонамерени пакети като валидни, тя няма да попречи на нападателите да изпращат връзки или прикачени файлове към тези файлове. Това по същество означава, че потребителите все пак ще трябва да бъдат внимателни и да проверяват предходните елементи на пакета, преди да го инсталират.
В същия дух той добавя, че въпреки че CVE-2021-43890 е приоритет за корекция, той все още е само една от 67-те уязвимости, които Microsoft коригира в последния си корекция във вторник на 2021 г. Шест от тях са спечелили " критичен" рейтинг, което означава, че те могат да бъдат използвани от хакери, за да получат пълен, дистанционен контрол над уязвими компютри с Windows без много съпротива и са също толкова важни за корекция, колкото и уязвимостта за подправяне на приложения.