Ključni izsledki
- Microsoft je izdal zadnji popravek v torek v letu.
- Odpravlja skupno 67 ranljivosti.
-
Ena od ranljivosti je hekerjem pomagala izdati škodljive pakete za zaupanja vredne.
V Microsoftovem decembrskem torkovem popravku je popravek za malo neprijetno napako, ki jo hekerji aktivno uporabljajo za namestitev nevarne zlonamerne programske opreme.
Ranljivost hekerjem omogoča, da pretentajo uporabnike namiznih računalnikov v namestitev škodljivih aplikacij, tako da jih prikrijejo kot uradne. V tehničnem smislu hrošč omogoča hekerjem, da pridobijo vgrajeno funkcijo Windows App Installer, imenovano tudi AppX Installer, da ponaredijo zakonite pakete, tako da uporabniki prostovoljno namestijo zlonamerne.
»Običajno, če uporabnik poskuša namestiti aplikacijo, ki vsebuje zlonamerno programsko opremo, kot je podoben Adobe Readerju, se ta ne prikaže kot preverjen paket, kjer nastopi ranljivost, « je pojasnil Kevin Breen, Direktor raziskav kibernetskih groženj pri Immersive Labs Lifewire po e-pošti. "Ta ranljivost omogoča napadalcu, da prikaže svoj zlonamerni paket, kot da bi bil zakonit paket, ki sta ga potrdila Adobe in Microsoft."
Kačje olje
Uradno spremljana s strani varnostne skupnosti kot CVE-2021-43890, je hrošč v bistvu povzročil, da so zlonamerni paketi iz nezaupljivih virov videti varni in zaupanja vredni. Ravno zaradi tega vedenja Breen meni, da je ta subtilna ranljivost lažnih aplikacij tista, ki najbolj prizadene uporabnike namiznih računalnikov.
»Cilja na osebo za tipkovnico in napadalcu omogoči, da ustvari namestitveni paket, ki vključuje zlonamerno programsko opremo, kot je Emotet,« je dejal Breen in dodal, da bo »napadalec to nato poslal uporabniku po e-pošti ali povezavi, podobno standardnim lažnim predstavljanjem. Ko uporabnik namesti zlonamerni paket, bo namesto tega namestil zlonamerno programsko opremo.
Ko so izdali popravek, so varnostni raziskovalci v Microsoftovem varnostnem odzivnem centru (MSRC) opazili, da so zlonamerni paketi, posredovani s to napako, manj resno vplivali na računalnike z uporabniškimi računi, ki so bili konfigurirani z manj uporabniškimi pravicami v primerjavi z uporabniki, ki so svoj računalnik upravljali s skrbniškimi pravicami.
»Microsoft se zaveda napadov, ki poskušajo izkoristiti to ranljivost z uporabo posebej oblikovanih paketov, ki vključujejo družino zlonamerne programske opreme, znano kot Emotet/Trickbot/Bazaloader,« je poudaril MSRC (Microsoft Security Research Center) v objavi varnostne posodobitve.
Hudičeva vrnitev
Emotet, ki ga agencija Evropske unije Europol imenuje "najnevarnejša zlonamerna programska oprema na svetu", so raziskovalci prvič odkrili leta 2014. Po navedbah agencije se je Emotet razvil v veliko večjo grožnjo in celo ponudil v najem drugim kiberkriminalcem za pomoč pri širjenju različnih vrst zlonamerne programske opreme, kot je izsiljevalska programska oprema.
Organi kazenskega pregona so januarja 2021 končno zaustavili vladavino terorja zlonamerne programske opreme, ko so zasegli več sto strežnikov po vsem svetu, ki so jo poganjali. Vendar se zdi, da opažanja MSRC kažejo, da hekerji ponovno poskušajo obnoviti kibernetsko infrastrukturo zlonamerne programske opreme z izkoriščanjem zdaj popravljene ranljivosti lažnega predstavljanja aplikacij Windows.
Breen poziva vse uporabnike sistema Windows, naj popravijo svoje sisteme, hkrati pa jih opominja, da čeprav bo Microsoftov popravek oropal hekerje sredstev za prikrivanje zlonamernih paketov kot veljavnih, napadalcem ne bo preprečil pošiljanja povezav ali prilog k tem datotekam. To v bistvu pomeni, da bodo uporabniki še vedno morali biti previdni in preveriti predhodnike paketa, preden ga namestijo.
V istem smislu dodaja, da čeprav je CVE-2021-43890 prednostna naloga pri popravkih, je še vedno le ena od 67 ranljivosti, ki jih je Microsoft odpravil v svojem zadnjem popravku v torek leta 2021. Šest od teh si je prislužilo kritično«, kar pomeni, da jih lahko hekerji izkoristijo za pridobitev popolnega daljinskega nadzora nad ranljivimi računalniki Windows brez večjega odpora in jih je prav tako pomembno popraviti kot ranljivost za ponarejanje aplikacij.
