Kluczowe dania na wynos
- Microsoft wydał ostatnią łatę we wtorek w roku.
- Naprawia łącznie 67 luk w zabezpieczeniach.
-
Jedna z luk pomogła hakerom przekazać szkodliwe pakiety jako zaufane.
Umieszczony w grudniowej łatce firmy Microsoft we wtorek to poprawka paskudnego małego błędu, który hakerzy aktywnie wykorzystują do instalowania niebezpiecznego złośliwego oprogramowania.
Luka umożliwia hakerom nakłonienie użytkowników komputerów stacjonarnych do zainstalowania szkodliwych aplikacji, ukrywając je jako oficjalne. Z technicznego punktu widzenia błąd umożliwia hakerom przejęcie wbudowanej funkcji Windows App Installer, zwanej również Instalatorem AppX, w celu fałszowania legalnych pakietów, dzięki czemu użytkownicy chętnie instalują złośliwe.
„Zazwyczaj, jeśli użytkownik spróbuje zainstalować aplikację zawierającą złośliwe oprogramowanie, takie jak podobny do Adobe Reader, nie wyświetli się ona jako zweryfikowany pakiet, w którym pojawia się luka” – wyjaśnił Kevin Breen. Dyrektor ds. badań nad zagrożeniami cybernetycznymi w Immersive Labs, do Lifewire przez e-mail. „Ta luka umożliwia atakującemu wyświetlenie swojego złośliwego pakietu tak, jakby był to legalny pakiet zweryfikowany przez firmy Adobe i Microsoft”.
Olej z węża
Oficjalnie śledzony przez społeczność zajmującą się bezpieczeństwem jako CVE-2021-43890, błąd zasadniczo powodował, że złośliwe pakiety z niezaufanych źródeł wydawały się bezpieczne i zaufane. Właśnie z powodu tego zachowania Breen uważa, że ta subtelna podatność na fałszowanie aplikacji jest tą, która najbardziej dotyka użytkowników komputerów stacjonarnych.
„Jest skierowany do osoby za klawiaturą, umożliwiając atakującemu utworzenie pakietu instalacyjnego zawierającego złośliwe oprogramowanie, takie jak Emotet”, powiedział Breen, dodając, że „atakujący wyśle to użytkownikowi za pośrednictwem poczty e-mail lub łącza, podobne do standardowych ataków phishingowych”. Gdy użytkownik zainstaluje złośliwy pakiet, zamiast tego zainstaluje złośliwe oprogramowanie.
Po opublikowaniu łatki analitycy bezpieczeństwa z Microsoft Security Response Center (MSRC) zauważyli, że złośliwe pakiety przekazywane za pomocą tego błędu miały mniej poważny wpływ na komputery z kontami użytkowników skonfigurowanymi z mniejszymi prawami użytkownika w porównaniu z użytkownicy, którzy obsługiwali swój komputer z uprawnieniami administratora.
„Microsoft wie o atakach, które próbują wykorzystać tę lukę za pomocą specjalnie spreparowanych pakietów, które obejmują rodzinę złośliwego oprogramowania znaną jako Emotet/Trickbot/Bazaloader”, wskazał MSRC (Microsoft Security Research Center) w poście dotyczącym aktualizacji zabezpieczeń.
Powrót diabła
Nazywany „najniebezpieczniejszym złośliwym oprogramowaniem na świecie” przez organ ścigania Unii Europejskiej, Europol, Emotet został po raz pierwszy odkryty przez badaczy w 2014 roku. Według agencji Emotet ewoluował, by stać się znacznie większym zagrożeniem, a nawet oferowane do wynajęcia innym cyberprzestępcom w celu rozpowszechniania różnego rodzaju złośliwego oprogramowania, takiego jak oprogramowanie ransomware.
Organy ścigania w końcu powstrzymały terrorystyczne rządy szkodliwego oprogramowania w styczniu 2021 r., kiedy przejęły kilkaset serwerów znajdujących się na całym świecie, które je napędzały. Jednak obserwacje MSRC zdają się sugerować, że hakerzy po raz kolejny próbują odbudować cyberinfrastrukturę szkodliwego oprogramowania, wykorzystując teraz załataną lukę umożliwiającą fałszowanie aplikacji Windows.
Prosząc wszystkich użytkowników systemu Windows o załatanie swoich systemów, Breen przypomina im również, że chociaż łatka Microsoftu pozbawi hakerów środków służących do ukrywania złośliwych pakietów jako ważnych, nie zapobiegnie wysyłaniu przez atakujących linków lub załączników do tych plików. Zasadniczo oznacza to, że użytkownicy nadal będą musieli zachować ostrożność i sprawdzić poprzedniki pakietu przed jego zainstalowaniem.
W tym samym duchu dodaje, że chociaż CVE-2021-43890 jest priorytetem w zakresie łatania, to wciąż jest to tylko jedna z 67 luk, które firma Microsoft naprawiła we wtorek we wtorek 2021 r. ocena krytyczna”, co oznacza, że hakerzy mogą je wykorzystać do uzyskania pełnej, zdalnej kontroli nad podatnymi komputerami z systemem Windows bez większego oporu, a ich łatanie jest tak samo ważne jak luka w zabezpieczeniach aplikacji.
