Ключевые выводы
- Microsoft выпустила последнее исправление во вторник в этом году.
- Исправлено 67 уязвимостей.
-
Одна из уязвимостей помогла хакерам выдать вредоносные пакеты за доверенные.
В декабрьском обновлении Microsoft во вторник находится исправление неприятной маленькой ошибки, которую хакеры активно используют для установки опасного вредоносного ПО.
Уязвимость позволяет хакерам обманным путем заставить пользователей настольных компьютеров устанавливать вредоносные приложения, выдавая их за официальные. С технической точки зрения, ошибка позволяет хакерам использовать встроенную функцию установщика приложений Windows, также известную как установщик AppX, для подделки законных пакетов, чтобы пользователи охотно устанавливали вредоносные.
«Обычно, если пользователь пытается установить приложение, содержащее вредоносное ПО, например аналог Adobe Reader, оно не отображается как проверенный пакет, и именно здесь проявляется уязвимость», - пояснил Кевин Брин, Директор по исследованию киберугроз в Immersive Labs, в Lifewire по электронной почте. «Эта уязвимость позволяет злоумышленнику отображать свой вредоносный пакет, как если бы он был законным пакетом, проверенным Adobe и Microsoft».
Змеиное масло
Ошибка, официально отслеживаемая сообществом безопасности как CVE-2021-43890, делает вредоносные пакеты из ненадежных источников безопасными и надежными. Именно из-за такого поведения Брин считает, что эта незаметная уязвимость, связанная с спуфингом приложений, больше всего влияет на пользователей настольных компьютеров.
«Он нацелен на человека за клавиатурой, позволяя злоумышленнику создать установочный пакет, который включает вредоносное ПО, такое как Emotet», - сказал Брин, добавив, что «злоумышленник затем отправит это пользователю по электронной почте или по ссылке, аналогично стандартным фишинговым атакам». Когда пользователь устанавливает вредоносный пакет, вместо него устанавливается вредоносное ПО.
При выпуске исправления исследователи безопасности из Microsoft Security Response Center (MSRC) отметили, что вредоносные пакеты, передаваемые с помощью этой ошибки, оказывали менее серьезное влияние на компьютеры с учетными записями пользователей, настроенными с меньшим количеством прав пользователя, по сравнению с пользователи, которые управляли своим компьютером с правами администратора.
«Microsoft известно об атаках, которые пытаются использовать эту уязвимость с помощью специально созданных пакетов, включающих семейство вредоносных программ, известных как Emotet/Trickbot/Bazaloader», - указал MSRC (Центр исследования безопасности Microsoft) в сообщении об обновлении безопасности..
Возвращение дьявола
Названный правоохранительным органом Европейского Союза Европолом «самым опасным вредоносным ПО в мире», Emotet был впервые обнаружен исследователями в 2014 году. По данным агентства, Emotet превратился в гораздо большую угрозу и даже предлагается нанять другим киберпреступникам для распространения различных типов вредоносных программ, таких как программы-вымогатели.
Правоохранительные органы наконец остановили террор вредоносного ПО в январе 2021 года, когда они захватили несколько сотен серверов, расположенных по всему миру, которые питали его. Тем не менее, наблюдения MSRC, по-видимому, предполагают, что хакеры снова пытаются восстановить киберинфраструктуру вредоносного ПО, используя уже исправленную уязвимость спуфинга приложений Windows.
Прося всех пользователей Windows обновить свои системы, Брин также напоминает им, что, хотя патч Microsoft лишит хакеров средств для маскировки вредоносных пакетов под действительные, он не помешает злоумышленникам отправлять ссылки или вложения на эти файлы. По сути, это означает, что пользователям все равно придется проявлять осторожность и проверять предысторию пакета перед его установкой.
В том же духе он добавляет, что, хотя CVE-2021-43890 является приоритетом для исправлений, это по-прежнему лишь одна из 67 уязвимостей, которые Microsoft исправила в своем последнем патче вторника 2021 года. Шесть из них получили критический», что означает, что хакеры могут использовать их для получения полного удаленного контроля над уязвимыми компьютерами Windows без особого сопротивления, и их так же важно исправить, как и уязвимость, подделывающую приложение.
