Key Takeaways
- Microsoft je objavio posljednju zakrpu u utorak u godini.
- Popravlja ukupno 67 ranjivosti.
-
Jedna od ranjivosti pomogla je hakerima da proslede štetne pakete kao pouzdane.
U Microsoftovoj decembarskoj zakrpi u utorak je ispravka za gadnu malu grešku koju hakeri aktivno koriste za instaliranje opasnog zlonamjernog softvera.
Ova ranjivost omogućava hakerima da prevare desktop korisnike da instaliraju štetne aplikacije maskirajući ih kao službene. U tehničkom smislu, greška omogućava hakerima da preuzmu ugrađenu funkciju Windows App Installer, koja se takođe naziva AppX Installer, kako bi lažirali legitimne pakete, tako da korisnici voljno instaliraju zlonamjerne.
"Uobičajeno, ako korisnik pokuša instalirati aplikaciju koja sadrži zlonamjerni softver, kao što je Adobe Reader sličan izgledu, ona se neće prikazati kao provjereni paket, što je mjesto gdje ranjivost dolazi do izražaja", objasnio je Kevin Breen, Direktor istraživanja kibernetičkih prijetnji u Immersive Labs, za Lifewire putem e-pošte. "Ova ranjivost omogućava napadaču da prikaže svoj zlonamjerni paket kao da je legitiman paket koji su potvrdili Adobe i Microsoft."
Snake Oil
Zvanično praćen od strane bezbednosne zajednice kao CVE-2021-43890, greška je u suštini učinila da zlonamerni paketi iz nepouzdanih izvora izgledaju bezbedni i pouzdani. Upravo zbog ovakvog ponašanja Breen vjeruje da je ova suptilna ranjivost lažiranja aplikacija ona koja najviše pogađa korisnike desktopa.
"Cilja osobu iza tastature, omogućavajući napadaču da kreira instalacijski paket koji uključuje zlonamjerni softver kao što je Emotet", rekao je Breen, dodajući da će "napadač to poslati korisniku putem e-pošte ili linka, slično standardnim phishing napadima." Kada korisnik instalira zlonamjerni paket, on će umjesto njega instalirati zlonamjerni softver.
Kada su objavili zakrpu, istraživači sigurnosti u Microsoft Security Response Center (MSRC) primijetili su da su zlonamjerni paketi proslijeđeni pomoću ove greške imali manje ozbiljan utjecaj na računare s korisničkim nalozima koji su konfigurisani sa manje korisničkih prava, u poređenju sa korisnici koji su upravljali svojim računarom sa administrativnim privilegijama.
"Microsoft je svjestan napada koji pokušavaju da iskoriste ovu ranjivost korištenjem posebno izrađenih paketa koji uključuju porodicu zlonamjernog softvera poznatu kao Emotet/Trickbot/Bazaloader", istakao je MSRC (Microsoft Security Research Center) u objavi sigurnosnog ažuriranja.
Povratak đavola
Agencija Evropske unije za provođenje zakona, Europol, naziva "najopasnijim zlonamjernim softverom na svijetu", Emotet su prvi otkrili istraživači 2014. Prema agenciji, Emotet je evoluirao da postane mnogo veća prijetnja i čak je ponuđeno za iznajmljivanje drugim cyber kriminalcima da pomognu u širenju različitih vrsta zlonamjernog softvera, kao što je ransomware.
Agencije za provođenje zakona konačno su zaustavile vladavinu terora zlonamjernog softvera u januaru 2021., kada su zaplijenile nekoliko stotina servera lociranih širom svijeta koji su ga pokretali. Međutim, čini se da zapažanja MSRC-a sugeriraju da hakeri još jednom pokušavaju obnoviti cyber infrastrukturu zlonamjernog softvera iskorištavanjem sada zakrpljene ranjivosti lažiranja Windows aplikacije.
Tražeći od svih korisnika Windowsa da zakrpe svoje sisteme, Breen ih također podsjeća da, iako će Microsoftova zakrpa hakerima lišiti sredstva da prikriju zlonamjerne pakete kao valjane, neće spriječiti napadače da šalju veze ili priloge ovim datotekama. Ovo u suštini znači da će korisnici i dalje morati biti oprezni i provjeriti prethodni paket prije nego što ga instaliraju.
U istom smislu, on dodaje da, iako je CVE-2021-43890 prioritet zakrpe, to je i dalje samo jedna od 67 ranjivosti koje je Microsoft ispravio u svojoj posljednjoj zakrpi u utorak 2021. Šest od njih je dobilo " kritičan" rejting, što znači da ih hakeri mogu iskoristiti za potpunu, daljinsku kontrolu nad ranjivim Windows računarima bez većeg otpora i jednako je važno zakrpiti kao i ranjivost aplikacije koja lažira.
