Grudniowa łatka Microsoftu pomaga wyeliminować niebezpieczne złośliwe oprogramowanie

December 16, 2021
WAktualności Ochrona Internetu

Kluczowe dania na wynos

Firma Microsoft wydała ostatni wtorek w tym roku.
Naprawia łącznie 67 luk w zabezpieczeniach.
Jedna z luk pomogła hakerom przekazać szkodliwe pakiety jako zaufane.

Ekran ostrzegawczy o wykryciu złośliwego oprogramowania z abstrakcyjnym kodem binarnym 3d cyfrową koncepcją — Olemedia / Getty Images

Umieszczony w firmie Microsoft Grudniowa łatka wtorek jest poprawką na paskudny mały błąd, który hakerzy aktywnie wykorzystują do instalowania niebezpiecznego złośliwego oprogramowania.

Luka umożliwia hakerom nakłonienie użytkowników komputerów stacjonarnych do zainstalowania szkodliwych aplikacji, ukrywając je jako oficjalne. Pod względem technicznym błąd umożliwia hakerom przejęcie wbudowanej funkcji Windows App Installer, określany również jako instalator AppX, aby sfałszować legalne pakiety, aby użytkownicy chętnie instalowali złośliwe oprogramowanie te.

„Zazwyczaj, jeśli użytkownik próbuje zainstalować aplikację zawierającą złośliwe oprogramowanie, np. Adobe Reader podobnie, nie będzie wyświetlany jako zweryfikowany pakiet, w którym pojawia się luka ” wyjaśniono Kevin Breen, dyrektor ds. badań cyberzagrożeń w

Laboratoria wciągające, do Lifewire przez e-mail. „Ta luka umożliwia atakującemu wyświetlenie złośliwego pakietu tak, jakby był to legalny pakiet zweryfikowany przez firmy Adobe i Microsoft”.

Olej z węża

Oficjalnie śledzony przez społeczność zajmującą się bezpieczeństwem jako CVE-2021-43890, błąd zasadniczo powodował, że złośliwe pakiety z niezaufanych źródeł wydawały się bezpieczne i zaufane. Właśnie z powodu tego zachowania Breen uważa, że ta subtelna podatność na fałszowanie aplikacji jest tą, która najbardziej dotyka użytkowników komputerów stacjonarnych.

„Jest skierowany do osoby za klawiaturą, umożliwiając atakującemu utworzenie pakietu instalacyjnego zawierającego złośliwe oprogramowanie, takie jak Emotet”, powiedział Breen, dodając, że „ osoba atakująca wyśle to użytkownikowi za pośrednictwem poczty e-mail lub łącza, podobnie jak w przypadku standardowych ataków phishingowych”. Gdy użytkownik zainstaluje złośliwy pakiet, zainstaluje ono złośliwe oprogramowanie zamiast.

ilustracja przedstawiająca wędki zbierające dane użytkownika online. — sarayut Thaneerat / Getty Images

Po opublikowaniu łatki analitycy bezpieczeństwa z Microsoft Security Response Center (MSRC) zauważyli, że złośliwe pakiety przekazywane za pomocą tego błędu miały mniej poważny wpływ na komputery z kontami użytkowników, które zostały skonfigurowane z mniejszymi prawami użytkownika, w porównaniu z użytkownikami, którzy obsługiwali komputer z uprawnieniami administracyjnymi przywileje.

„Microsoft wie o atakach, które próbują wykorzystać tę lukę za pomocą specjalnie spreparowanych pakietów, które zawierają rodzinę złośliwego oprogramowania znaną jako Emotet/Trickbot/Bazaloader” wskazał MSRC w poście aktualizacji zabezpieczeń.

Powrót diabła

Określany jako „najbardziej niebezpieczne na świecie złośliwe oprogramowanie” przez organ ścigania Unii Europejskiej, Europol, Emotet został po raz pierwszy odkryty przez naukowców w 2014 roku. Według agencji Emotet ewoluował, by stać się znacznie większym zagrożeniem, i w rzeczywistości był nawet oferowany do wynajęcia innym cyberprzestępcom w celu rozpowszechniania innych rodzajów złośliwego oprogramowania, takich jak oprogramowanie ransomware.

Rządy terroru szkodliwego oprogramowania były w końcu zatrzymany przez organy ścigania w styczniu 2021 r., kiedy przejęły kilkaset serwerów znajdujących się na całym świecie, które je zasilały. Jednak obserwacje MSRC zdają się sugerować, że hakerzy po raz kolejny próbują odbudować infrastrukturę cybernetyczną szkodliwego oprogramowania, wykorzystując teraz załataną lukę w zabezpieczeniach aplikacji Windows.

Drewniany koń trojański z notatnikiem na stole. ilustracja 3D. — Fotografia stylistyczna / Getty Images

Prosząc wszystkich użytkowników systemu Windows o załatanie swoich systemów, Breen przypomina im również, że podczas gdy łatka Microsoftu okradnie hakerów z oznacza ukrywanie złośliwych pakietów jako ważnych, nie uniemożliwi to atakującym wysyłania linków lub załączników do nich pliki. Zasadniczo oznacza to, że użytkownicy nadal będą musieli zachować ostrożność i sprawdzić poprzedników pakietu przed jego zainstalowaniem.

W tym samym duchu dodaje, że chociaż CVE-2021-43890 jest priorytetem w zakresie łatania, wciąż jest to tylko jedna z 67 luk, które firma Microsoft naprawiła w ostatniej łatce we wtorek 2021 r. Sześć z nich uzyskało ocenę „krytyczne”, co oznacza, że mogą zostać wykorzystane przez hakerów do uzyskania pełnej, zdalnej kontroli nad podatnymi komputerami z systemem Windows bez większego oporu, a ich łatanie jest tak samo ważne, jak fałszowanie aplikacji słaby punkt.