Keeawayt
- Microsoft on julkaissut vuoden viimeisen korjaustiedoston.
- Se korjaa yhteensä 67 haavoittuvuutta.
-
Yksi haavoittuvuuksista auttoi hakkereita pitämään haitallisia paketteja luotettavina.
Microsoftin joulukuun päivitystiistaina on korjaus ikävään pikkuvirheeseen, jota hakkerit käyttävät aktiivisesti vaarallisten haittaohjelmien asentamiseen.
Haavoittuvuuden ansiosta hakkerit voivat huijata työpöytäkäyttäjiä asentamaan haitallisia sovelluksia naamioimalla ne virallisiksi sovelluksiksi. Teknisesti sanottuna bugi antaa hakkereille mahdollisuuden ohjata sisäänrakennettua Windows App Installer -ominaisuutta, jota kutsutaan myös AppX Installeriksi, väärentääkseen laillisia paketteja, joten käyttäjät asentavat mielellään haitallisia paketteja.
"Yleensä jos käyttäjä yrittää asentaa haittaohjelmia sisältävän sovelluksen, kuten Adobe Readerin, se ei näy vahvistettuna pakettina, jolloin haavoittuvuus tulee esiin", Kevin Breen selitti. Immersive Labsin kyberuhkien tutkimuksen johtaja Lifewirelle sähköpostitse. "Tämän haavoittuvuuden ansiosta hyökkääjä voi näyttää haitallisen pakettinsa ikään kuin se olisi Adoben ja Microsoftin vahvistama laillinen paketti."
Snake Oil
Suojausyhteisön virallisesti CVE-2021-43890 jäljittämä bugi sai epäluotettavista lähteistä peräisin olevat haittapaketit näyttämään turvallisilta ja luotettavilta. Juuri tämän käytöksen vuoksi Breen uskoo, että tämä hienovarainen sovellusten huijaushaavoittuvuus vaikuttaa eniten työpöytäkäyttäjiin.
"Se kohdistuu näppäimistön takana olevaan henkilöön, jolloin hyökkääjä voi luoda asennuspaketin, joka sisältää haittaohjelmia, kuten Emotetin", sanoi Breen ja lisäsi, että "hyökkääjä lähettää tämän sitten käyttäjälle sähköpostitse tai linkin kautta, samanlainen kuin tavalliset tietojenkalasteluhyökkäykset." Kun käyttäjä asentaa haitallisen paketin, se asentaa sen sijaan haittaohjelman.
Kun he julkaisivat korjaustiedoston, Microsoft Security Response Centerin (MSRC) tietoturvatutkijat huomauttivat, että tämän virheen avulla välitetyillä haitallisilla paketeilla oli vähemmän vakava vaikutus tietokoneisiin, joiden käyttäjätilit oli määritetty pienemmillä käyttöoikeuksilla. käyttäjät, jotka käyttivät tietokonettaan järjestelmänvalvojan oikeuksin.
"Microsoft on tietoinen hyökkäyksistä, jotka yrittävät hyödyntää tätä haavoittuvuutta käyttämällä erityisesti suunniteltuja paketteja, jotka sisältävät Emotet/Trickbot/Bazaloader-nimisen haittaohjelmaperheen", huomautti MSRC (Microsoft Security Research Center) tietoturvapäivitysviestissä..
Paholaisen paluu
Euroopan unionin lainvalvontaviranomainen Europol kutsui Emotetin "maailman vaarallisimmaksi haittaohjelmaksi". Tutkijat löysivät Emotetin ensimmäisen kerran vuonna 2014. Viraston mukaan Emotetiin kehittyi paljon suurempi uhka ja jopa tarjotaan vuokrattavaksi muille kyberrikollisille auttamaan erityyppisten haittaohjelmien, kuten kiristysohjelmien, levittämistä.
Lainvalvontaviranomaiset pysäyttivät vihdoin haittaohjelman kauhun vallan tammikuussa 2021, kun ne takavarikoivat useita satoja eri puolilla maailmaa sijaitsevia palvelimia, jotka käyttivät sitä. MSRC:n havainnot näyttävät kuitenkin viittaavan siihen, että hakkerit yrittävät jälleen kerran rakentaa uudelleen haittaohjelman kyberinfrastruktuuria hyödyntämällä nyt korjattua Windows-sovellusten huijaushaavoittuvuutta.
Pyydessään kaikkia Windows-käyttäjiä korjaamaan järjestelmänsä, Breen muistuttaa heitä myös siitä, että vaikka Microsoftin korjaustiedosto ryöstää hakkereilta keinot naamioida haitalliset paketit kelvollisiksi, se ei estä hyökkääjiä lähettämästä linkkejä tai liitteitä näihin tiedostoihin. Tämä tarkoittaa käytännössä sitä, että käyttäjien on silti oltava varovaisia ja tarkistettava paketin edeltäjät ennen sen asentamista.
Samaan tapaan hän lisää, että vaikka CVE-2021-43890 on paikkausprioriteetti, se on silti vain yksi 67 haavoittuvuudesta, jotka Microsoft on korjannut viimeisessä korjaustiistaissa 2021. Kuusi näistä on ansainnut " kriittinen" luokitus, mikä tarkoittaa, että hakkerit voivat hyödyntää niitä saadakseen täydellisen etähallinnan haavoittuviin Windows-tietokoneisiin ilman suurta vastustusta, ja ne ovat yhtä tärkeitä korjata kuin sovelluksen huijaushaavoittuvuus.
