Klíčové poznatky
- Microsoft vydal poslední opravné úterý tohoto roku.
- Opravuje celkem 67 zranitelností.
-
Jedna ze zranitelností pomohla hackerům vydávat škodlivé balíčky za důvěryhodné.
Zasazené do prosincového opravného úterý společnosti Microsoft je oprava ošklivé malé chyby, kterou hackeři aktivně používají k instalaci nebezpečného malwaru.
Tato chyba zabezpečení umožňuje hackerům přimět uživatele počítačů k instalaci škodlivých aplikací tím, že je budou vydávat za oficiální. Technicky řečeno, chyba umožňuje hackerům získat vestavěnou funkci Windows App Installer, také označovanou jako AppX Installer, a podvrhnout legitimní balíčky, takže uživatelé ochotně instalují ty škodlivé.
„Pokud se uživatel pokusí nainstalovat aplikaci obsahující malware, jako je Adobe Reader, nezobrazí se jako ověřený balíček, což je místo, kde se hraje zranitelnost,“vysvětlil Kevin Breen, Ředitel výzkumu kybernetických hrozeb v Immersive Labs společnosti Lifewire prostřednictvím e-mailu. "Tato chyba zabezpečení umožňuje útočníkovi zobrazit svůj škodlivý balíček, jako by to byl legitimní balíček ověřený společnostmi Adobe a Microsoft."
Hadí olej
Chyba, která byla oficiálně sledována bezpečnostní komunitou jako CVE-2021-43890, v podstatě způsobila, že škodlivé balíčky z nedůvěryhodných zdrojů vypadaly jako bezpečné a důvěryhodné. Právě kvůli tomuto chování Breen věří, že tato jemná zranitelnost spoofingu aplikací je tou, která nejvíce ovlivňuje uživatele stolních počítačů.
"Zaměřuje se na osobu za klávesnicí a umožňuje útočníkovi vytvořit instalační balíček, který obsahuje malware jako Emotet," řekl Breen a dodal, že "útočník to poté pošle uživateli prostřednictvím e-mailu nebo odkazu." podobné standardním phishingovým útokům." Když si uživatel nainstaluje škodlivý balíček, nainstaluje místo něj malware.
Jakmile vydali opravu, bezpečnostní výzkumníci z Microsoft Security Response Center (MSRC) zaznamenali, že škodlivé balíčky předané pomocí této chyby měly méně závažný dopad na počítače s uživatelskými účty, které byly nakonfigurovány s menšími uživatelskými právy než uživatelé, kteří provozovali svůj počítač s oprávněními správce.
„Microsoft si je vědom útoků, které se pokoušejí zneužít tuto chybu zabezpečení pomocí speciálně vytvořených balíčků, které zahrnují rodinu malwaru známou jako Emotet/Trickbot/Bazaloader,“upozornilo MSRC (Microsoft Security Research Center) v příspěvku o aktualizaci zabezpečení..
Návrat ďábla
Emotet, označovaný jako „nejnebezpečnější malware světa“agenturou Evropské unie pro vymáhání práva, Europol, byl Emotet poprvé objeven výzkumníky v roce 2014. Podle agentury se Emotet vyvinul v mnohem větší hrozbu a byl dokonce nabízené k pronájmu dalším kyberzločincům, aby pomohli šířit různé typy malwaru, jako je ransomware.
Donucovací orgány konečně zastavily hrůzovládu malwaru v lednu 2021, kdy zabavily několik stovek serverů umístěných po celém světě, které jej napájely. Zdá se však, že pozorování MSRC naznačují, že hackeři se znovu pokoušejí obnovit kybernetickou infrastrukturu malwaru tím, že využívají nyní opravenou zranitelnost spoofingu aplikací pro Windows.
Breen žádá všechny uživatele Windows, aby opravili své systémy, a také jim připomíná, že i když oprava Microsoftu připraví hackery o prostředky k maskování škodlivých balíčků za platné, nezabrání útočníkům v odesílání odkazů nebo příloh na tyto soubory. To v podstatě znamená, že uživatelé budou muset být stále opatrní a před instalací balíčku zkontrolovat předchůdce balíčku.
Ve stejném duchu dodává, že ačkoli je CVE-2021-43890 prioritou oprav, stále je to jen jedna z 67 zranitelností, které společnost Microsoft opravila ve svém posledním opravném úterý roku 2021. Šest z nich získalo „ kritické“hodnocení, což znamená, že je mohou zneužít hackeři k získání úplné vzdálené kontroly nad zranitelnými počítači se systémem Windows bez většího odporu a jejich oprava je stejně důležitá jako chyba zabezpečení týkající se spoofingu aplikací.
