يساعد تصحيح يوم الثلاثاء لشهر ديسمبر من Microsoft في القضاء على البرامج الضارة الخطيرة

تطفو داخل مايكروسوفت ديسمبر التصحيح الثلاثاء هو إصلاح لخلل صغير سيء يستخدمه المتسللون بنشاط لتثبيت برامج ضارة خطيرة.

تمكن الثغرة الأمنية المتسللين من خداع مستخدمي سطح المكتب لتثبيت تطبيقات ضارة من خلال تمويهها على أنها تطبيقات رسمية. من الناحية الفنية ، يمكّن الخطأ المتسللين من التحكم في ميزة Windows App Installer المضمنة ، يُشار إليه أيضًا باسم AppX Installer ، بغرض انتحال الحزم الشرعية حتى يقوم المستخدمون بتثبيت البرامج الضارة عن طيب خاطر منها.

"عادةً ، إذا حاول المستخدم تثبيت تطبيق يحتوي على برامج ضارة ، مثل Adobe Reader مشابه ، لن يتم عرضه كحزمة تم التحقق منها ، حيث تظهر الثغرة الأمنية ، " شرح كيفن برين، مدير Cyber ​​Threat Research at مختبرات غامرة، إلى Lifewire عبر البريد الإلكتروني. "تسمح هذه الثغرة الأمنية للمهاجمين بعرض الحزمة الخبيثة الخاصة بهم كما لو كانت حزمة شرعية تم التحقق من صحتها من قبل Adobe و Microsoft."

زيت الثعبان

تم تتبعها رسميًا من قبل مجتمع الأمان باسم CVE-2021-43890 ، جعل الخطأ بشكل أساسي حزمًا ضارة من مصادر غير موثوقة تظهر على أنها آمنة وموثوق بها. وبسبب هذا السلوك بالضبط ، يعتقد برين أن الثغرة الأمنية المخادعة لهذا التطبيق الخفي هي التي تؤثر على مستخدمي سطح المكتب أكثر من غيرها.

قال برين: "إنه يستهدف الشخص الموجود خلف لوحة المفاتيح ، مما يسمح للمهاجم بإنشاء حزمة تثبيت تتضمن برامج ضارة مثل Emotet" ، مضيفًا أن " سيقوم المهاجم بعد ذلك بإرسال هذا إلى المستخدم عبر البريد الإلكتروني أو رابط ، على غرار هجمات التصيد الاحتيالي القياسية. "عندما يقوم المستخدم بتثبيت الحزمة الضارة ، سيقوم بتثبيت البرامج الضارة بدلا من.

عندما أصدروا التصحيح ، لاحظ الباحثون الأمنيون في مركز الاستجابة الأمنية لـ Microsoft (MSRC) أن الحزم الخبيثة التي تم تمريرها باستخدام هذا الخطأ كانت أقل تأثير خطير على أجهزة الكمبيوتر ذات حسابات المستخدمين التي تم تكوينها بحقوق مستخدم أقل ، مقارنة بالمستخدمين الذين قاموا بتشغيل أجهزة الكمبيوتر الخاصة بهم بشكل إداري الامتيازات.

"Microsoft على علم بالهجمات التي تحاول استغلال هذه الثغرة الأمنية باستخدام حزم مصممة خصيصًا تتضمن عائلة البرامج الضارة المعروفة باسم Emotet / Trickbot / Bazaloader ،" أشار MSRC في آخر تحديث أمني.

عودة الشيطان

يشار إليه على أنه "أخطر البرامج الضارة في العالم" من قبل وكالة إنفاذ القانون في الاتحاد الأوروبي ، اليوروبول، تم اكتشاف Emotet لأول مرة من قبل الباحثين في عام 2014. وفقًا للوكالة ، تطور Emotet ليصبح تهديدًا أكبر بكثير ، وقد عُرض في الواقع للتأجير لمجرمي الإنترنت الآخرين للمساعدة في نشر أنواع أخرى من البرامج الضارة ، مثل برامج الفدية.

كان عهد الإرهاب للبرامج الضارة توقف في النهاية من قبل وكالات إنفاذ القانون في يناير 2021 ، عندما استولوا على عدة مئات من الخوادم الموجودة في جميع أنحاء العالم والتي تعمل على تشغيلها. ومع ذلك ، يبدو أن ملاحظات MSRC تشير إلى أن المتسللين يحاولون مرة أخرى إعادة بناء البنية التحتية الإلكترونية للبرامج الضارة من خلال استغلال ثغرة انتحال تطبيق Windows المصححة الآن.

بمطالبة جميع مستخدمي Windows بتصحيح أنظمتهم ، يذكرهم Breen أيضًا أنه في حين أن التصحيح Microsoft سوف يسرق المتسللين من يعني إخفاء الحزم الضارة على أنها صالحة ، ولن يمنع المهاجمين من إرسال روابط أو مرفقات إليها الملفات. هذا يعني بشكل أساسي أنه لا يزال يتعين على المستخدمين توخي الحذر والتحقق من سوابق الحزمة قبل تثبيتها.

وعلى نفس المنوال ، يضيف أنه في حين أن CVE-2021-43890 يمثل أولوية تصحيح ، إلا أنها لا تزال واحدة فقط من 67 نقطة ضعف قامت Microsoft بإصلاحها في التحديث الأخير يوم الثلاثاء لعام 2021. ستة من هؤلاء حصلوا على التصنيف "الحرج" ، مما يعني أنه يمكن استغلالهم من قبل المتسللين للحصول على تحكم كامل عن بعد على أجهزة الكمبيوتر الضعيفة التي تعمل بنظام Windows دون مقاومة كبيرة ، كما أن التصحيح لا يقل أهمية عن انتحال التطبيق وهن.