Recomandări cheie
- Microsoft a lansat ultimul patch marți a anului.
- Remediază un total de 67 de vulnerabilități.
-
Una dintre vulnerabilități i-a ajutat pe hackeri să treacă pachetele dăunătoare drept unele de încredere.
În cadrul Patch-ului de marți de la Microsoft de la decembrie este o remediere a unei mici erori urâte pe care hackerii o folosesc în mod activ pentru a instala programe malware periculoase.
Vulnerabilitatea le permite hackerilor să păcălească utilizatorii de desktop să instaleze aplicații dăunătoare, deghizându-le în cele oficiale. În termeni tehnici, eroarea le permite hackerilor să obțină funcția încorporată Windows App Installer, denumită și AppX Installer, pentru a falsifica pachetele legitime, astfel încât utilizatorii să instaleze de bunăvoie pachetele rău intenționate.
„De obicei, dacă utilizatorul încearcă să instaleze o aplicație care conține programe malware, cum ar fi un Adobe Reader asemănător, aceasta nu se va afișa ca pachet verificat, care este locul unde intră în joc vulnerabilitatea”, a explicat Kevin Breen, Director de cercetare a amenințărilor cibernetice la Immersive Labs, către Lifewire prin e-mail. „Această vulnerabilitate permite unui atacator să-și afișeze pachetul rău intenționat ca și cum ar fi un pachet legitim validat de Adobe și Microsoft.”
Ulei de șarpe
Urmărită oficial de comunitatea de securitate ca CVE-2021-43890, bug-ul a făcut ca pachetele rău intenționate din surse nede încredere să pară sigure și de încredere. Tocmai din cauza acestui comportament, Breen crede că această vulnerabilitate subtilă de falsificare a aplicațiilor este cea care afectează cel mai mult utilizatorii de desktop.
„Vizează persoana din spatele tastaturii, permițând unui atacator să creeze un pachet de instalare care include programe malware precum Emotet”, a spus Breen, adăugând că „atacatorul va trimite apoi acest lucru utilizatorului prin e-mail sau printr-un link, similar cu atacurile standard de phishing.” Când utilizatorul instalează pachetul rău intenționat, va instala programul malware.
Pe măsură ce au lansat patch-ul, cercetătorii de securitate de la Microsoft Security Response Center (MSRC) au remarcat că pachetele rău intenționate transmise folosind această eroare au avut un impact mai puțin sever asupra computerelor cu conturi de utilizator care au fost configurate cu mai puține drepturi de utilizator, în comparație cu utilizatorii care își operau computerul cu privilegii administrative.
„Microsoft este conștient de atacuri care încearcă să exploateze această vulnerabilitate prin utilizarea pachetelor special concepute care includ familia de malware cunoscută sub numele de Emotet/Trickbot/Bazaloader”, a subliniat MSRC (Microsoft Security Research Center) într-o postare de actualizare de securitate..
Întoarcerea diavolului
Denumit „cel mai periculos malware din lume” de către agenția de aplicare a legii a Uniunii Europene, Europol, Emotet a fost descoperit pentru prima dată de cercetători în 2014. Potrivit agenției, Emotet a evoluat pentru a deveni o amenințare mult mai mare și chiar a fost oferit spre închiriere altor infractori cibernetici pentru a ajuta la răspândirea diferitelor tipuri de programe malware, cum ar fi ransomware.
Agențiile de aplicare a legii au oprit în cele din urmă domnia terorii a malware-ului în ianuarie 2021, când au confiscat câteva sute de servere din întreaga lume care îl alimentau. Cu toate acestea, observațiile MSRC par să sugereze că hackerii încearcă din nou să reconstruiască infrastructura cibernetică a malware-ului prin exploatarea vulnerabilității de falsificare a aplicației Windows, acum corectată.
Cerându-le tuturor utilizatorilor Windows să-și corecteze sistemele, Breen le reamintește, de asemenea, că, în timp ce corecția Microsoft le va fura hackerilor de mijloacele de a deghiza pachetele rău intenționate ca fiind valide, nu îi va împiedica pe atacatori să trimită link-uri sau atașamente la aceste fișiere. Acest lucru înseamnă în esență că utilizatorii vor trebui să fie precauți și să verifice antecedentele unui pachet înainte de a-l instala.
În aceeași ordine de idei, el adaugă că, deși CVE-2021-43890 este o prioritate de corecție, este încă doar una dintre cele 67 de vulnerabilități pe care Microsoft le-a remediat în ultimul său corecție marți din 2021. Șase dintre acestea au câștigat „ „critice”, ceea ce înseamnă că pot fi exploatate de hackeri pentru a obține un control complet, de la distanță, asupra computerelor vulnerabile Windows, fără prea multă rezistență și sunt la fel de importante de corectat ca și vulnerabilitatea de falsificare a aplicației.