Microsoft's december Patch Tuesday helpt gevaarlijke malware te vernietigen

December 16, 2021
InNieuws Internet Beveiliging

Belangrijkste leerpunten

Microsoft heeft de laatste Patch Tuesday van het jaar uitgebracht.
Het lost in totaal 67 kwetsbaarheden op.
Een van de kwetsbaarheden hielp hackers schadelijke pakketten door te geven als vertrouwde pakketten.

Malware gedetecteerd waarschuwingsscherm met abstract binaire code 3d digitaal concept — Olemedia / Getty-afbeeldingen

Neergestreken binnen Microsoft's December Patch dinsdag is een oplossing voor een vervelende kleine bug die hackers actief gebruiken om gevaarlijke malware te installeren.

Het beveiligingslek stelt hackers in staat desktopgebruikers te misleiden om schadelijke applicaties te installeren door ze te vermommen als officiële applicaties. In technische termen stelt de bug hackers in staat om de ingebouwde functie van Windows App Installer te gebruiken, ook wel AppX Installer genoemd, om legitieme pakketten te vervalsen zodat gebruikers gewillig kwaadaardig installeren degenen.

"Meestal, als de gebruiker een toepassing probeert te installeren die malware bevat, zoals een Adobe Reader lookalike, het wordt niet weergegeven als een geverifieerd pakket, en dat is waar de kwetsbaarheid in het spel komt," uitgelegd

Kevin Breen, directeur van Cyber Threat Research bij Meeslepende Labs, naar Lifewire via e-mail. "Dit beveiligingslek stelt een aanvaller in staat om hun kwaadaardige pakket weer te geven alsof het een legitiem pakket is dat is gevalideerd door Adobe en Microsoft."

Slangenolie

Officieel gevolgd door de beveiligingsgemeenschap als CVE-2021-43890, zorgde de bug er in wezen voor dat kwaadaardige pakketten van niet-vertrouwde bronnen als veilig en vertrouwd leken. Het is precies vanwege dit gedrag dat Breen gelooft dat deze subtiele kwetsbaarheid voor app-spoofing degene is die de desktopgebruikers het meest treft.

"Het is gericht op de persoon achter het toetsenbord, waardoor een aanvaller een installatiepakket kan maken dat malware zoals Emotet bevat", zei Breen, eraan toevoegend dat "de aanvaller stuurt dit vervolgens naar de gebruiker via e-mail of een link, vergelijkbaar met standaard phishing-aanvallen." Wanneer de gebruiker het schadelijke pakket installeert, installeert het de malware in plaats van.

illustratie van hengels die gebruikersgegevens online oogsten. — sarayut Thaneerat / Getty Images

Toen ze de patch uitbrachten, merkten beveiligingsonderzoekers van het Microsoft Security Response Center (MSRC) op dat de kwaadaardige pakketten die met deze bug werden doorgegeven een minder ernstige impact op computers met gebruikersaccounts die zijn geconfigureerd met minder gebruikersrechten, vergeleken met gebruikers die hun computer met beheerdersrechten bedienden voorrechten.

"Microsoft is op de hoogte van aanvallen die proberen dit beveiligingslek te misbruiken door gebruik te maken van speciaal vervaardigde pakketten die de malwarefamilie bevatten die bekend staat als Emotet/Trickbot/Bazaloader," wees op MSRC in een bericht over een beveiligingsupdate.

Terugkeer van de duivel

Door de wetshandhavingsinstantie van de Europese Unie 'de gevaarlijkste malware ter wereld' genoemd, Europol, Emotet werd voor het eerst ontdekt door onderzoekers in 2014. Volgens het bureau evolueerde Emotet tot een veel grotere bedreiging en werd het zelfs te huur aangeboden aan andere cybercriminelen om andere soorten malware, zoals ransomware, te helpen verspreiden.

Het schrikbewind van de malware was: eindelijk gestopt door wetshandhavingsinstanties in januari 2021, toen ze enkele honderden servers over de hele wereld in beslag namen die het aandreven. De observaties van MSRC lijken er echter op te wijzen dat hackers opnieuw proberen de cyberinfrastructuur van de malware opnieuw op te bouwen door gebruik te maken van de nu gepatchte kwetsbaarheid voor spoofing van Windows-apps.

Houten paard van Troje met een notitieboekje op tafel. 3D illustratie. — stijlfotografie / Getty Images

Door alle Windows-gebruikers te vragen hun systemen te patchen, herinnert Breen hen er ook aan dat hoewel de patch van Microsoft hackers zal beroven van de betekent om kwaadaardige pakketten als geldig te vermommen, het zal de aanvallers niet beletten links of bijlagen naar deze pakketten te sturen bestanden. Dit betekent in wezen dat gebruikers nog steeds voorzichtig moeten zijn en de antecedenten van een pakket moeten controleren voordat ze het installeren.

In dezelfde geest voegt hij eraan toe dat hoewel CVE-2021-43890 een patchprioriteit is, het nog steeds slechts een van de 67 kwetsbaarheden is die Microsoft heeft verholpen in de laatste patch-dinsdag van 2021. Zes hiervan hebben de "kritieke" beoordeling gekregen, wat betekent dat ze door hackers kunnen worden misbruikt om volledige controle op afstand te krijgen over kwetsbare Windows-computers zonder veel weerstand, en zijn net zo belangrijk om te patchen als de app-spoofing kwetsbaarheid.