Key takeaways
- Microsoft har udgivet årets sidste patch-tirsdag.
- Det retter i alt 67 sårbarheder.
-
En af sårbarhederne hjalp hackere med at videregive skadelige pakker som betroede.
Perched inde i Microsofts December Patch Tuesday er en rettelse til en grim lille fejl, som hackere aktivt bruger til at installere farlig malware.
Sårbarheden gør det muligt for hackere at narre desktopbrugere til at installere skadelige applikationer ved at forklæde dem som officielle. I tekniske termer gør fejlen det muligt for hackere at bruge den indbyggede Windows App Installer-funktion, også kaldet AppX Installer, til at forfalske legitime pakker, så brugere villigt installere ondsindede pakker.
"Typisk, hvis brugeren forsøger at installere en applikation, der indeholder malware, såsom en Adobe Reader-lookalike, vises den ikke som en verificeret pakke, og det er her, sårbarheden kommer i spil," forklarede Kevin Breen, Direktør for Cyber Threat Research hos Immersive Labs, til Lifewire via e-mail. "Denne sårbarhed gør det muligt for en angriber at vise deres ondsindede pakke, som om det var en legitim pakke valideret af Adobe og Microsoft."
Snake Oil
Officielt sporet af sikkerhedsfællesskabet som CVE-2021-43890, fik fejlen i det væsentlige ondsindede pakker fra ikke-pålidelige kilder til at virke sikre og pålidelige. Det er netop på grund af denne adfærd, at Breen mener, at denne subtile app-spoofing-sårbarhed er den, der påvirker desktop-brugere mest.
"Det er rettet mod personen bag tastaturet, hvilket gør det muligt for en angriber at oprette en installationspakke, der indeholder malware som Emotet," sagde Breen og tilføjede, at "angriberen vil derefter sende dette til brugeren via e-mail eller et link, ligner standard phishing-angreb." Når brugeren installerer den skadelige pakke, installerer den malwaren i stedet for.
Da de udgav patchen, bemærkede sikkerhedsforskere ved Microsoft Security Response Center (MSRC) de ondsindede pakker, der blev sendt ved hjælp af denne fejl, havde en mindre alvorlig indvirkning på computere med brugerkonti, der var konfigureret med færre brugerrettigheder sammenlignet med brugere, der betjente deres computer med administrative rettigheder.
"Microsoft er opmærksom på angreb, der forsøger at udnytte denne sårbarhed ved at bruge specialfremstillede pakker, der inkluderer malware-familien kendt som Emotet/Trickbot/Bazaloader," påpegede MSRC (Microsoft Security Research Center) i et sikkerhedsopdateringsindlæg.
Return of the Devil
Benævnt "verdens farligste malware" af EU's retshåndhævende agentur, Europol, blev Emotet først opdaget af forskere i 2014. Ifølge agenturet udviklede Emotet sig til at blive en meget større trussel og var endda udbydes til leje til andre cyberkriminelle for at hjælpe med at sprede forskellige typer malware, såsom ransomware.
Retshåndhævende myndigheder stoppede endelig malwarens terrorregime i januar 2021, da de beslaglagde flere hundrede servere rundt om i verden, der drev den. Observationerne fra MSRC synes dog at antyde, at hackere endnu en gang forsøger at genopbygge malwarens cyberinfrastruktur ved at udnytte den nu patchede Windows-apps spoofing-sårbarhed.
Breen beder alle Windows-brugere om at patche deres systemer og minder dem også om, at selvom Microsofts patch vil frarøve hackere midlerne til at skjule ondsindede pakker som gyldige, vil den ikke forhindre angriberne i at sende links eller vedhæftede filer til disse filer. Dette betyder i bund og grund, at brugere stadig skal udvise forsigtighed og kontrollere forhistorien til en pakke, før de installerer den.
På samme måde tilføjer han, at selvom CVE-2021-43890 er en patch-prioritet, er det stadig kun en af de 67 sårbarheder, Microsoft har rettet i sin sidste patch tirsdag i 2021. Seks af disse har opnået " kritisk", hvilket betyder, at de kan udnyttes af hackere til at få fuldstændig fjernkontrol over sårbare Windows-computere uden megen modstand og er lige så vigtige at lappe som app-spoofing-sårbarheden.