Decembrový opravný utorok od spoločnosti Microsoft pomáha zbaviť sa nebezpečného malvéru

Usadený v rámci spoločnosti Microsoft Decembrový opravný utorok je oprava nepríjemnej malej chyby, ktorú hackeri aktívne používajú na inštaláciu nebezpečného malvéru.

Táto zraniteľnosť umožňuje hackerom oklamať používateľov počítačov, aby si nainštalovali škodlivé aplikácie tým, že ich zamaskujú za oficiálne aplikácie. Z technického hľadiska táto chyba umožňuje hackerom zmocniť sa vstavanej funkcie Windows App Installer, tiež označovaný ako AppX Installer, na sfalšovanie legitímnych balíkov, aby si používatelia ochotne inštalovali škodlivé tie.

„Zvyčajne, ak sa používateľ pokúsi nainštalovať aplikáciu obsahujúcu malvér, ako je napríklad Adobe Reader podobajúci sa, nezobrazí sa ako overený balík, čo je miesto, kde do hry vstupuje zraniteľnosť,“ vysvetlil Kevin Breen, riaditeľ výskumu kybernetických hrozieb v

Imerzívne laboratóriána Lifewire prostredníctvom e-mailu. "Táto zraniteľnosť umožňuje útočníkovi zobraziť svoj škodlivý balík, ako keby to bol legitímny balík overený spoločnosťami Adobe a Microsoft."

Hadí olej

Táto chyba, ktorá bola oficiálne sledovaná bezpečnostnou komunitou ako CVE-2021-43890, v podstate spôsobila, že škodlivé balíky z nedôveryhodných zdrojov sa javili ako bezpečné a dôveryhodné. Je to presne kvôli tomuto správaniu, že Breen verí, že táto jemná zraniteľnosť spoofovania aplikácií je tá, ktorá najviac ovplyvňuje používateľov počítačov.

"Zameriava sa na osobu za klávesnicou, čo umožňuje útočníkovi vytvoriť inštalačný balík, ktorý obsahuje malvér ako Emotet," povedal Breen a dodal, že útočník to potom pošle používateľovi prostredníctvom e-mailu alebo odkazu, podobne ako pri štandardných phishingových útokoch." Keď si používateľ nainštaluje škodlivý balík, nainštaluje malvér namiesto toho.

Keď vydali opravu, bezpečnostní výskumníci z Microsoft Security Response Center (MSRC) zaznamenali, že škodlivé balíky odovzdané pomocou tejto chyby mali menej závažný dopad na počítače s používateľskými účtami, ktoré boli nakonfigurované s menším počtom používateľských práv, v porovnaní s používateľmi, ktorí prevádzkovali svoj počítač so správcom privilégiá.

„Microsoft vie o útokoch, ktoré sa pokúšajú zneužiť túto zraniteľnosť pomocou špeciálne vytvorených balíkov, ktoré zahŕňajú rodinu škodlivého softvéru známu ako Emotet/Trickbot/Bazaloader,“ upozornil MSRC v príspevku o bezpečnostnej aktualizácii.

Návrat diabla

Agentúra Európskej únie na presadzovanie práva označovaná ako „najnebezpečnejší malvér na svete“, Europol, Emotet bol prvýkrát objavený výskumníkmi v roku 2014. Podľa agentúry sa Emotet vyvinul, aby sa stal oveľa väčšou hrozbou a v skutočnosti bol dokonca ponúknutý na prenájom iným počítačovým zločincom, aby pomohli šíriť iné typy malvéru, ako je ransomware.

Terorická vláda malvéru bola konečne zastavil orgánmi činnými v trestnom konaní v januári 2021, keď zabavili niekoľko stoviek serverov umiestnených po celom svete, ktoré ho poháňali. Zdá sa však, že pozorovania MSRC naznačujú, že hackeri sa opäť pokúšajú obnoviť kybernetickú infraštruktúru škodlivého softvéru využívaním teraz opravenej zraniteľnosti spoofingu aplikácií pre Windows.

Žiadajúc všetkých používateľov Windows, aby opravili svoje systémy, Breen im tiež pripomína, že zatiaľ čo oprava od Microsoftu okradne hackerov o znamená zamaskovať škodlivé balíčky ako platné, nezabráni útočníkom posielať na ne odkazy alebo prílohy súbory. To v podstate znamená, že používatelia budú musieť byť stále opatrní a pred inštaláciou balíka skontrolovať predchodcov balíka.

V rovnakom duchu dodáva, že hoci je CVE-2021-43890 prioritou opráv, stále je to len jedna zo 67 zraniteľností, ktoré spoločnosť Microsoft opravila vo svojom poslednom opravnom utorok v roku 2021. Šesť z nich získalo hodnotenie „kritické“, čo znamená, že ich môžu zneužiť hackeri na získanie úplného diaľkového ovládania. na zraniteľných počítačoch so systémom Windows bez veľkého odporu a ich oprava je rovnako dôležitá ako spoofing aplikácií zraniteľnosť.