Microsofti detsembrikuu plaastri teisipäev aitab hävitada ohtliku pahavara

Istub Microsofti sees Detsember Patch Teisipäev on parandus väikesele vastikule veale, mida häkkerid kasutavad aktiivselt ohtliku pahavara installimiseks.

See haavatavus võimaldab häkkeritel meelitada lauaarvuti kasutajaid installima kahjulikke rakendusi, maskeerides need ametlikeks rakendusteks. Tehnilises mõttes võimaldab see viga häkkeritel juhtida Windowsi rakenduste installija sisseehitatud funktsiooni, nimetatakse ka AppX Installeriks, et võltsida seaduslikke pakette, et kasutajad installiksid pahatahtlikke pakette ühed.

"Tavaliselt siis, kui kasutaja proovib installida pahavara sisaldavat rakendust, näiteks Adobe Readerit Sarnaselt sellele ei kuvata seda kontrollitud paketina, mistõttu tuleb mängu haavatavus. selgitas Kevin Breen, küberohtude uurimise direktor aadressil

Kaasahaaravad laborid, Lifewire'ile e-posti teel. "See haavatavus võimaldab ründajal kuvada oma pahatahtlikku paketti nii, nagu oleks see Adobe ja Microsofti poolt kinnitatud seaduslik pakett."

Maduõli

Turvakogukonna poolt ametlikult CVE-2021-43890 jälgitud viga muutis sisuliselt ebausaldusväärsetest allikatest pärit pahatahtlikud paketid turvaliseks ja usaldusväärseks. Just selle käitumise tõttu usub Breen, et see peen rakenduste võltsimise haavatavus mõjutab lauaarvutite kasutajaid kõige rohkem.

"See on suunatud klaviatuuri taga olevale inimesele, võimaldades ründajal luua installipaketi, mis sisaldab pahavara nagu Emotet," ütles Breen ja lisas, et " seejärel saadab ründaja selle kasutajale e-posti või lingi kaudu, sarnaselt tavaliste andmepüügirünnakutega." Kui kasutaja installib pahatahtliku paketi, installib see pahavara. selle asemel.

Plaastri välja andmisel märkisid Microsofti turvareageerimiskeskuse (MSRC) turvateadlased, et selle vea kaudu edastatud pahatahtlikud paketid olid vähem mõjuvad. tõsine mõju arvutitele, mille kasutajakontod olid konfigureeritud vähemate kasutajaõigustega võrreldes kasutajatega, kes kasutasid oma arvutit administraatoriõigusega privileegid.

"Microsoft on teadlik rünnetest, mis üritavad seda haavatavust ära kasutada spetsiaalselt loodud pakettide abil, mis sisaldavad Emotet/Trickbot/Bazaloader nime all tuntud pahavara perekonda." märkis MSRC turvavärskenduse postituses.

Kuradi tagasitulek

Euroopa Liidu õiguskaitseamet nimetab seda "maailma kõige ohtlikumaks pahavaraks", EuropolEmoteti avastasid teadlased esmakordselt 2014. aastal. Agentuuri sõnul arenes Emotet palju suuremaks ohuks ja tegelikult pakuti seda isegi teistele küberkurjategijatele, et aidata levitada muud tüüpi pahavara, näiteks lunavara.

Pahavara hirmuvalitsus oli lõpuks peatunud õiguskaitseorganite poolt 2021. aasta jaanuaris, kui nad konfiskeerisid mitusada serverit üle maailma, mis seda toitasid. MSRC tähelepanekud näivad aga viitavat, et häkkerid üritavad taas pahavara küberinfrastruktuuri taastada, kasutades ära nüüdseks paigatud Windowsi rakenduste võltsimise haavatavust.

Paludes kõigil Windowsi kasutajatel oma süsteemid parandada, tuletab Breen neile meelde, et kuigi Microsofti plaaster röövib häkkeritelt tähendab pahatahtlike pakettide õigeks maskeerimiseks, see ei takista ründajatel neile linke või manuseid saatmast. failid. See tähendab sisuliselt seda, et kasutajad peavad enne selle installimist siiski olema ettevaatlikud ja kontrollima paketi eellugu.

Samas lisab ta, et kuigi CVE-2021-43890 on paikamine prioriteet, on see siiski vaid üks 67 turvaaugust, mille Microsoft on oma 2021. aasta viimasel paiga teisipäeval parandanud. Neist kuus on teeninud "kriitilise" reitingu, mis tähendab, et häkkerid saavad neid ära kasutada täieliku kaugjuhtimispuldi saamiseks haavatavate Windowsi arvutite üle ilma suurema vastupanuta ja neid on sama oluline parandada kui rakenduste võltsimist haavatavus.