Key takeaways
- Microsoft har gitt ut årets siste patch-tirsdag.
- Det fikser tot alt 67 sårbarheter.
-
Et av sikkerhetsproblemene hjalp hackere med å utgi skadelige pakker som pålitelige.
Perched innenfor Microsofts desember-oppdatering tirsdag er en løsning på en ekkel liten feil som hackere aktivt bruker for å installere farlig skadelig programvare.
Sårbarheten gjør det mulig for hackere å lure desktop-brukere til å installere skadelige applikasjoner ved å skjule dem som offisielle. Teknisk sett lar feilen hackere bruke den innebygde Windows App Installer-funksjonen, også referert til som AppX Installer, for å forfalske legitime pakker, slik at brukere villig installerer skadelige pakker.
"Vanligvis, hvis brukeren prøver å installere en applikasjon som inneholder skadelig programvare, for eksempel en Adobe Reader-lookalike, vil den ikke vises som en bekreftet pakke, og det er her sårbarheten kommer inn i bildet," forklarte Kevin Breen, Direktør for Cyber Threat Research ved Immersive Labs, til Lifewire via e-post. "Dette sikkerhetsproblemet lar en angriper vise sin skadelige pakke som om den var en legitim pakke validert av Adobe og Microsoft."
Snake Oil
Offisielt sporet av sikkerhetsfellesskapet som CVE-2021-43890, fikk feilen egentlig skadelige pakker fra ikke-klarerte kilder til å virke trygge og pålitelige. Det er akkurat på grunn av denne oppførselen at Breen mener at denne subtile app-forfalskningssårbarheten er den som påvirker stasjonære brukere mest.
"Den retter seg mot personen bak tastaturet, og lar en angriper lage en installasjonspakke som inkluderer skadevare som Emotet," sa Breen og la til at "angriperen vil da sende dette til brukeren via e-post eller en lenke, ligner på standard phishing-angrep." Når brukeren installerer den skadelige pakken, installerer den skadelig programvare i stedet.
Da de ga ut oppdateringen, bemerket sikkerhetsforskere ved Microsoft Security Response Center (MSRC) at de ondsinnede pakkene som ble sendt med denne feilen hadde en mindre alvorlig innvirkning på datamaskiner med brukerkontoer som var konfigurert med færre brukerrettigheter, sammenlignet med brukere som drev datamaskinen sin med administrative rettigheter.
"Microsoft er klar over angrep som forsøker å utnytte dette sikkerhetsproblemet ved å bruke spesiallagde pakker som inkluderer skadevarefamilien kjent som Emotet/Trickbot/Bazaloader," påpekte MSRC (Microsoft Security Research Center) i et sikkerhetsoppdateringsinnlegg.
Return of the Devil
Referert til som "verdens farligste skadevare" av EUs rettshåndhevelsesbyrå, Europol, ble Emotet først oppdaget av forskere i 2014. Ifølge byrået utviklet Emotet seg til å bli en mye større trussel og ble til og med tilbys for utleie til andre nettkriminelle for å bidra til å spre ulike typer skadelig programvare, for eksempel løsepengeprogramvare.
Lovhåndhevelsesbyråer stanset til slutt skadevarens terrorvelde i januar 2021, da de tok beslag på flere hundre servere rundt om i verden som drev den. Observasjonene fra MSRC ser imidlertid ut til å antyde at hackere nok en gang prøver å gjenoppbygge skadelig programvares cyberinfrastruktur ved å utnytte den nå korrigerte Windows-appens forfalskningssårbarhet.
Breen ber alle Windows-brukere om å lappe systemene sine, og minner dem også om at selv om Microsofts oppdatering vil frarøve hackere midlene til å skjule ondsinnede pakker som gyldige, vil den ikke hindre angriperne i å sende lenker eller vedlegg til disse filene. Dette betyr i hovedsak at brukere fortsatt må utvise forsiktighet og sjekke antecedentene til en pakke før de installerer den.
På samme måte legger han til at selv om CVE-2021-43890 er en oppdateringsprioritet, er det fortsatt bare en av de 67 sårbarhetene Microsoft har fikset i sin siste patch tirsdag i 2021. Seks av disse har fått " kritisk", som betyr at de kan utnyttes av hackere for å få fullstendig fjernkontroll over sårbare Windows-datamaskiner uten mye motstand og er like viktige å korrigere som app-forfalskningssårbarheten.