Microsofts desemberoppdatering tirsdag hjelper til med å fjerne farlig skadelig programvare

Plassert innenfor Microsofts desember Patch tirsdag er en løsning for en ekkel liten feil som hackere aktivt bruker for å installere farlig skadelig programvare.

Sårbarheten gjør det mulig for hackere å lure stasjonære brukere til å installere skadelige applikasjoner ved å skjule dem som offisielle. Teknisk sett lar feilen hackere bruke den innebygde funksjonen i Windows App Installer, også referert til som AppX Installer, for å forfalske legitime pakker slik at brukere villig installerer skadelig seg.

"Vanligvis, hvis brukeren prøver å installere et program som inneholder skadelig programvare, for eksempel en Adobe Reader lookalike, vil den ikke vises som en bekreftet pakke, og det er her sårbarheten kommer inn,» forklart Kevin Breen, direktør for Cyber ​​Threat Research ved Immersive Labs

, til Lifewire via e-post. "Denne sårbarheten lar en angriper vise sin skadelige pakke som om den var en legitim pakke validert av Adobe og Microsoft."

Slange olje

Feilen ble offisielt sporet av sikkerhetsfellesskapet som CVE-2021-43890, og gjorde at ondsinnede pakker fra ikke-pålitelige kilder fremstod som trygge og pålitelige. Det er akkurat på grunn av denne oppførselen at Breen mener at denne subtile sårbarheten i app-forfalskning er den som påvirker skrivebordsbrukerne mest.

"Den retter seg mot personen bak tastaturet, og lar en angriper lage en installasjonspakke som inkluderer skadevare som Emotet," sa Breen og la til at "den angriperen vil da sende dette til brukeren via e-post eller en lenke, lik standard phishing-angrep." Når brukeren installerer den skadelige pakken, installerer den skadelig programvare i stedet.

Da de ga ut oppdateringen, bemerket sikkerhetsforskere ved Microsoft Security Response Center (MSRC) at de skadelige pakkene som ble sendt med denne feilen hadde mindre alvorlig innvirkning på datamaskiner med brukerkontoer som var konfigurert med færre brukerrettigheter, sammenlignet med brukere som drev datamaskinen med administrativ privilegier.

"Microsoft er klar over angrep som forsøker å utnytte denne sårbarheten ved å bruke spesiallagde pakker som inkluderer skadevarefamilien kjent som Emotet/Trickbot/Bazaloader," påpekte MSRC i en sikkerhetsoppdatering.

Djevelens retur

referert til som "verdens farligste skadevare" av EUs rettshåndhevelsesbyrå, Europol, Emotet ble først oppdaget av forskere i 2014. Ifølge byrået utviklet Emotet seg til å bli en mye større trussel, og ble faktisk til og med tilbudt utleie til andre nettkriminelle for å hjelpe med å spre andre typer skadelig programvare, som løsepengevare.

Skadevarens terrorvelde var endelig stoppet av rettshåndhevelsesbyråer i januar 2021, da de beslagla flere hundre servere rundt om i verden som drev den. Observasjonene til MSRC ser imidlertid ut til å antyde at hackere nok en gang prøver å gjenoppbygge skadevareens cyberinfrastruktur ved å utnytte den nå korrigerte Windows-appens forfalskningssårbarhet.

Breen ber alle Windows-brukere om å lappe systemene sine, og minner dem også om at mens Microsofts oppdatering vil frarøve hackere betyr å skjule ondsinnede pakker som gyldige, det vil ikke hindre angriperne i å sende lenker eller vedlegg til disse filer. Dette betyr i hovedsak at brukere fortsatt må utvise forsiktighet og sjekke antecedentene til en pakke før de installerer den.

På samme måte legger han til at selv om CVE-2021-43890 er en oppdateringsprioritet, er det fortsatt bare en av de 67 sårbarhetene Microsoft har fikset i sin siste Patch Tuesday i 2021. Seks av disse har fått den "kritiske" vurderingen, noe som betyr at de kan utnyttes av hackere for å få fullstendig fjernkontroll over sårbare Windows-datamaskiner uten mye motstand, og er like viktige å lappe som app-spoofing sårbarhet.