A legfontosabb elvitelek
- A Microsoft kiadta az év utolsó javítási keddjét.
- Összesen 67 sebezhetőséget javít ki.
-
Az egyik sebezhetőség segített a hackereknek a káros csomagokat megbízhatónak minősíteni.
A Microsoft decemberi javítási keddjén belül található egy csúnya kis hiba javítása, amelyet a hackerek aktívan használnak veszélyes rosszindulatú programok telepítésére.
A biztonsági rés lehetővé teszi a hackerek számára, hogy rávegyék az asztali felhasználókat, hogy kártékony alkalmazásokat telepítsenek azáltal, hogy hivatalosnak álcázzák azokat. Technikai szempontból a hiba lehetővé teszi a hackerek számára, hogy irányítsák a Windows App Installer beépített funkcióját, amelyet AppX Installernek is neveznek, hogy meghamisítsák a legális csomagokat, így a felhasználók szívesen telepítenek rosszindulatúakat.
"Általában, ha a felhasználó megpróbál telepíteni egy rosszindulatú programot tartalmazó alkalmazást, például egy Adobe Reader-hez hasonlót, az nem jelenik meg ellenőrzött csomagként, és itt lép életbe a sérülékenység" - magyarázta Kevin Breen. Az Immersive Labs Cyber Threat Research részlegének igazgatója a Lifewire-nek e-mailben. "Ez a biztonsági rés lehetővé teszi a támadók számára, hogy rosszindulatú csomagjait úgy jelenítsék meg, mintha az Adobe és a Microsoft által jóváhagyott, legitim csomag lenne."
Kígyóolaj
A biztonsági közösség által hivatalosan CVE-2021-43890 néven nyomon követett hiba miatt a nem megbízható forrásokból származó rosszindulatú csomagok biztonságosnak és megbízhatónak tűntek. Breen pontosan ezen viselkedés miatt hiszi el, hogy ez az apró alkalmazás-hamisítási rés az, amely leginkább érinti az asztali felhasználókat.
"A billentyűzet mögött álló személyt célozza meg, lehetővé téve a támadó számára, hogy olyan telepítőcsomagot hozzon létre, amely olyan rosszindulatú programokat tartalmaz, mint az Emotet" - mondta Breen, hozzátéve, hogy "a támadó ezt követően e-mailben vagy hivatkozáson keresztül elküldi a felhasználónak. hasonló a szokásos adathalász támadásokhoz." Amikor a felhasználó telepíti a rosszindulatú csomagot, helyette a rosszindulatú programot telepíti.
A javítás kiadásakor a Microsoft Security Response Center (MSRC) biztonsági kutatói észrevették, hogy az ezzel a hibával átadott rosszindulatú csomagok kevésbé súlyos hatással voltak azokra a számítógépekre, amelyek felhasználói fiókjai kevesebb felhasználói jogosultsággal voltak konfigurálva, mint a felhasználók, akik rendszergazdai jogosultságokkal üzemeltették számítógépüket.
"A Microsoft tisztában van azokkal a támadásokkal, amelyek az Emotet/Trickbot/Bazaloader néven ismert rosszindulatú programcsaládot tartalmazó, speciálisan kialakított csomagok segítségével próbálják kihasználni ezt a biztonsági rést" - mutatott rá az MSRC (Microsoft Security Research Center) egy biztonsági frissítési bejegyzésben..
Az ördög visszatér
Az Európai Unió bűnüldöző ügynöksége, az Europol "a világ legveszélyesebb rosszindulatú programjaként" emlegetett Emotetet először 2014-ben fedezték fel kutatók. Az ügynökség szerint az Emotet sokkal nagyobb fenyegetéssé fejlődött, és még bérelhető más kiberbűnözőknek, hogy segítsenek különböző típusú rosszindulatú programok, például zsarolóprogramok terjesztésében.
A bűnüldöző szervek 2021 januárjában végül leállították a rosszindulatú program rémuralmát, amikor több száz szervert fogl altak le világszerte, amelyek azt működtették. Az MSRC megfigyelései azonban azt sugallják, hogy a hackerek ismét megpróbálják újjáépíteni a rosszindulatú program kiberinfrastruktúráját a most kijavított Windows-alkalmazás-hamisítási sebezhetőség kihasználásával.
Az összes Windows-felhasználót megkérve, hogy javítsák rendszereiket, Breen arra is emlékezteti őket, hogy bár a Microsoft javítása megfosztja a hackerektől a rosszindulatú csomagok érvényesnek álcázására szolgáló eszközöket, nem akadályozza meg a támadókat abban, hogy hivatkozásokat vagy mellékleteket küldjenek ezekhez a fájlokhoz. Ez lényegében azt jelenti, hogy a felhasználóknak továbbra is óvatosnak kell lenniük, és a telepítés előtt ellenőrizniük kell a csomag előzményeit.
Ugyanebben a szellemben hozzáteszi, hogy bár a CVE-2021-43890 javítási prioritás, ez még mindig csak egy a 67 sérülékenység közül, amelyeket a Microsoft a 2021. évi utolsó javítási kedden javított ki. Ezek közül hat a " kritikus" besorolás, ami azt jelenti, hogy a hackerek kihasználhatják őket, hogy teljes, távoli irányítást szerezzenek a sebezhető Windows-számítógépek felett, különösebb ellenállás nélkül, és ugyanolyan fontosak a javításuk, mint az alkalmazáshamisítási sebezhetőség.