Sleutel wegneemetes
- Microsoft het die laaste Patch Dinsdag van die jaar vrygestel.
- Dit maak altesaam 67 kwesbaarhede reg.
-
Een van die kwesbaarhede het kuberkrakers gehelp om skadelike pakkette as betroubare pakkette oor te dra.
Parched in Microsoft se Desember Patch Tuesday is 'n oplossing vir 'n nare foutjie wat kuberkrakers aktief gebruik om gevaarlike wanware te installeer.
Die kwesbaarheid stel hackers in staat om rekenaargebruikers te mislei om skadelike toepassings te installeer deur hulle as amptelike toepassings te vermom. In tegniese terme stel die fout kuberkrakers in staat om die Windows App Installer ingeboude funksie, ook na verwys as AppX Installer, te beheer om wettige pakkette te bedrieg, sodat gebruikers gewillig kwaadwillige pakkette installeer.
"Gewoonlik, as die gebruiker probeer om 'n toepassing te installeer wat wanware bevat, soos 'n Adobe Reader-gelyksoortige, sal dit nie as 'n geverifieerde pakket vertoon word nie, dit is waar die kwesbaarheid ter sprake kom," verduidelik Kevin Breen, Direkteur van Cyber Threat Research by Immersive Labs, aan Lifewire per e-pos. "Hierdie kwesbaarheid laat 'n aanvaller toe om hul kwaadwillige pakket te vertoon asof dit 'n wettige pakket is wat deur Adobe en Microsoft bekragtig is."
Slangolie
Die fout, wat amptelik deur die sekuriteitsgemeenskap opgespoor is as CVE-2021-43890, het in wese kwaadwillige pakkette van onbetroubare bronne veilig en betroubaar laat lyk. Dit is presies as gevolg van hierdie gedrag dat Breen glo dat hierdie subtiele kwesbaarheid vir app-spoofing die een is wat rekenaargebruikers die meeste raak.
"Dit teiken die persoon agter die sleutelbord, wat 'n aanvaller toelaat om 'n installasiepakket te skep wat wanware soos Emotet insluit," het Breen gesê en bygevoeg dat "die aanvaller dit dan aan die gebruiker sal stuur via e-pos of 'n skakel, soortgelyk aan standaard phishing-aanvalle." Wanneer die gebruiker die kwaadwillige pakket installeer, sal dit eerder die wanware installeer.
Terwyl hulle die pleister vrygestel het, het sekuriteitsnavorsers by die Microsoft Security Response Centre (MSRC) opgemerk dat die kwaadwillige pakkette wat deur hierdie fout geslaag is, 'n minder ernstige impak gehad het op rekenaars met gebruikersrekeninge wat met minder gebruikersregte opgestel is, in vergelyking met gebruikers wat hul rekenaar met administratiewe voorregte bedryf het.
"Microsoft is bewus van aanvalle wat poog om hierdie kwesbaarheid uit te buit deur spesiaal vervaardigde pakkette te gebruik wat die wanwarefamilie bekend as Emotet/Trickbot/Bazaloader insluit," het MSRC (Microsoft Security Research Center) in 'n sekuriteitsopdateringpos uitgewys.
Wederkoms van die Duiwel
Daar na verwys as die "wêreld se gevaarlikste wanware" deur die Europese Unie se wetstoepassingsagentskap, Europol, is Emotet die eerste keer deur navorsers in 2014 ontdek. Volgens die agentskap het Emotet ontwikkel om 'n veel groter bedreiging te word en was selfs te huur aangebied aan ander kubermisdadigers om verskillende soorte wanware te help versprei, soos losprysware.
Wetstoepassingsagentskappe het uiteindelik die wanware se skrikbewind in Januarie 2021 gestop toe hulle beslag gelê het op 'n paar honderd bedieners regoor die wêreld wat dit aangedryf het. Die waarnemings van MSRC blyk egter te dui daarop dat kuberkrakers weer probeer om die wanware se kuberinfrastruktuur te herbou deur die nou-gelapte Windows-toepassings-spoofing-kwesbaarheid te ontgin.
Breen vra alle Windows-gebruikers om hul stelsels te pleister, en herinner hulle ook dat hoewel Microsoft se pleister kuberkrakers sal beroof van die middele om kwaadwillige pakkette as geldig te verdoesel, dit nie die aanvallers sal verhoed om skakels of aanhangsels na hierdie lêers te stuur nie. Dit beteken in wese dat gebruikers steeds versigtig sal moet wees en die antesedente van 'n pakket moet nagaan voordat dit geïnstalleer word.
In dieselfde trant voeg hy by dat hoewel CVE-2021-43890 'n pleisterprioriteit is, dit steeds net een van die 67 kwesbaarhede is wat Microsoft in sy finale Patch Tuesday van 2021 reggemaak het. Ses hiervan het die " kritiek"-gradering, wat beteken dat hulle deur kuberkrakers uitgebuit kan word om volledige afstandbeheer oor kwesbare Windows-rekenaars te verkry sonder veel weerstand en is net so belangrik om te herstel as die kwesbaarheid van die app-spoofing.