Мицрософт-ова децембарска закрпа у уторак помаже у уклањању опасног малвера

Смештен у Мицрософт-овом децембар закрпа уторак је решење за гадну малу грешку коју хакери активно користе за инсталирање опасног малвера.

Рањивост омогућава хакерима да преваре кориснике десктоп рачунара да инсталирају штетне апликације тако што ће их прерушавати као званичне. У техничком смислу, грешка омогућава хакерима да преузму уграђену функцију Виндовс Апп Инсталлер, такође се назива АппКс Инсталлер, за лажирање легитимних пакета тако да корисници вољно инсталирају злонамерне оне.

„Уобичајено, ако корисник покуша да инсталира апликацију која садржи малвер, као што је Адобе Реадер слично, неће се приказати као верификовани пакет, што је место где рањивост долази у игру“, објаснио Кевин Бреен, директор за истраживање сајбер претњи у Иммерсиве Лабс, на Лифевире путем е-поште. „Ова рањивост омогућава нападачу да прикаже свој злонамерни пакет као да је легитиман пакет који су потврдили Адобе и Мицрософт.“

Уље од змије

Званично праћен од стране безбедносне заједнице као ЦВЕ-2021-43890, грешка је у суштини учинила да злонамерни пакети из непоузданих извора изгледају као безбедни и поуздани. Управо због оваквог понашања Бреен верује да је ова суптилна рањивост лажирања апликација она која највише утиче на кориснике десктопа.

„Он циља особу иза тастатуре, омогућавајући нападачу да креира инсталациони пакет који укључује малвер као што је Емотет“, рекао је Брин, додајући да „ нападач ће то послати кориснику путем е-поште или линка, слично стандардним пхисхинг нападима." Када корисник инсталира злонамерни пакет, он ће инсталирати малвер уместо тога.

Када су објавили закрпу, истраживачи безбедности у Мицрософт Сецурити Респонсе Центер (МСРЦ) приметили су да су злонамерни пакети који су прошли помоћу ове грешке имали мање озбиљан утицај на рачунаре са корисничким налозима који су конфигурисани са мање корисничких права, у поређењу са корисницима који су управљали својим рачунаром са административним привилегије.

„Мајкрософт је свестан напада који покушавају да искористе ову рањивост коришћењем посебно направљених пакета који укључују породицу малвера познату као Емотет/Трицкбот/Базалоадер,“ истакао је МСРЦ у објави безбедносног ажурирања.

Повратак ђавола

Агенција за спровођење закона Европске уније назива га „најопаснијим малвером на свету“, Еуропол, Емотет су први открили истраживачи 2014. Према агенцији, Емотет је еволуирао да би постао много већа претња, а заправо је чак нуђен за изнајмљивање другим сајбер криминалцима како би помогао у ширењу других врста малвера, као што је рансомваре.

Владавина терора малвера је била коначно заустављен од стране агенција за спровођење закона у јануару 2021, када су заплениле неколико стотина сервера лоцираних широм света који су га покретали. Међутим, чини се да запажања МСРЦ-а сугеришу да хакери још једном покушавају да поново изграде сајбер инфраструктуру малвера искоришћавањем сада закрпљене рањивости Виндовс апликације за лажирање.

Тражећи од свих корисника Виндовс-а да закрпе своје системе, Бреен их такође подсећа да ће Мицрософт-ова закрпа хакерима отети значи да се злонамерни пакети прикрију као валидни, неће спречити нападаче да шаљу везе или прилоге ка овим фајлови. Ово у суштини значи да ће корисници и даље морати да буду опрезни и провере претходни пакет пре него што га инсталирају.

У истом духу, он додаје да иако је ЦВЕ-2021-43890 приоритет закрпе, то је и даље само једна од 67 рањивости које је Мицрософт исправио у својој последњој закрпи у уторак 2021. Шест од њих је добило оцену „критичан“, што значи да их хакери могу искористити да би добили потпуну, даљинску контролу преко рањивих Виндовс рачунара без већег отпора и једнако је важно закрпање као и лажирање апликације рањивост.