Βασικά Takeaways
- Η Microsoft κυκλοφόρησε το τελευταίο Patch Tuesday του έτους.
- Διορθώνει συνολικά 67 ευπάθειες.
-
Ένα από τα τρωτά σημεία βοήθησε τους χάκερ να περάσουν τα επιβλαβή πακέτα ως αξιόπιστα.
Στο πλαίσιο της ενημερωμένης έκδοσης κώδικα του Δεκεμβρίου της Microsoft, η Τρίτη είναι μια επιδιόρθωση για ένα δυσάρεστο μικρό σφάλμα που χρησιμοποιούν ενεργά οι χάκερ για να εγκαταστήσουν επικίνδυνο κακόβουλο λογισμικό.
Η ευπάθεια επιτρέπει στους χάκερ να εξαπατούν τους χρήστες επιτραπέζιων υπολογιστών ώστε να εγκαταστήσουν επιβλαβείς εφαρμογές μεταμφιέζοντάς τις ως επίσημες. Σε τεχνικούς όρους, το σφάλμα επιτρέπει στους χάκερ να χειριστούν την ενσωματωμένη λειτουργία του Windows App Installer, που αναφέρεται επίσης ως AppX Installer, για να παραπλανήσουν τα νόμιμα πακέτα, ώστε οι χρήστες να εγκαταστήσουν πρόθυμα κακόβουλα πακέτα.
"Συνήθως, εάν ο χρήστης προσπαθήσει να εγκαταστήσει μια εφαρμογή που περιέχει κακόβουλο λογισμικό, όπως ένα Adobe Reader παρόμοιο, δεν θα εμφανίζεται ως επαληθευμένο πακέτο, όπου εμφανίζεται η ευπάθεια", εξήγησε ο Kevin Breen. Διευθυντής Έρευνας Κυβερνοαπειλών στο Immersive Labs, στο Lifewire μέσω email. "Αυτή η ευπάθεια επιτρέπει σε έναν εισβολέα να εμφανίζει το κακόβουλο πακέτο του σαν να ήταν ένα νόμιμο πακέτο επικυρωμένο από την Adobe και τη Microsoft."
Snake Oil
Επίσημα παρακολουθούμενο από την κοινότητα ασφαλείας ως CVE-2021-43890, το σφάλμα έκανε ουσιαστικά τα κακόβουλα πακέτα από μη αξιόπιστες πηγές να φαίνονται ασφαλή και αξιόπιστα. Ακριβώς λόγω αυτής της συμπεριφοράς ο Breen πιστεύει ότι αυτή η λεπτή ευπάθεια πλαστογράφησης εφαρμογών είναι αυτή που επηρεάζει περισσότερο τους χρήστες επιτραπέζιων υπολογιστών.
"Στοχεύει το άτομο πίσω από το πληκτρολόγιο, επιτρέποντας σε έναν εισβολέα να δημιουργήσει ένα πακέτο εγκατάστασης που περιλαμβάνει κακόβουλο λογισμικό όπως το Emotet", είπε ο Breen, προσθέτοντας ότι "ο εισβολέας θα το στείλει στη συνέχεια στον χρήστη μέσω email ή συνδέσμου, παρόμοια με τις τυπικές επιθέσεις phishing." Όταν ο χρήστης εγκαταστήσει το κακόβουλο πακέτο, θα εγκαταστήσει το κακόβουλο λογισμικό.
Καθώς κυκλοφόρησαν την ενημερωμένη έκδοση κώδικα, οι ερευνητές ασφαλείας στο Microsoft Security Response Center (MSRC) παρατήρησαν ότι τα κακόβουλα πακέτα που διαβιβάστηκαν χρησιμοποιώντας αυτό το σφάλμα είχαν λιγότερο σοβαρό αντίκτυπο σε υπολογιστές με λογαριασμούς χρηστών που είχαν ρυθμιστεί με λιγότερα δικαιώματα χρήστη, σε σύγκριση με χρήστες που χειρίζονταν τον υπολογιστή τους με δικαιώματα διαχειριστή.
"Η Microsoft γνωρίζει επιθέσεις που επιχειρούν να εκμεταλλευτούν αυτήν την ευπάθεια χρησιμοποιώντας ειδικά διαμορφωμένα πακέτα που περιλαμβάνουν την οικογένεια κακόβουλου λογισμικού που είναι γνωστή ως Emotet/Trickbot/Bazaloader", επεσήμανε το MSRC (Microsoft Security Research Center) σε μια ανάρτηση ενημέρωσης ασφαλείας.
Επιστροφή του Διαβόλου
Αναφέρεται ως το "πιο επικίνδυνο κακόβουλο λογισμικό στον κόσμο" από την υπηρεσία επιβολής του νόμου της Ευρωπαϊκής Ένωσης, Europol, το Emotet ανακαλύφθηκε για πρώτη φορά από ερευνητές το 2014. Σύμφωνα με τον οργανισμό, το Emotet εξελίχθηκε σε πολύ μεγαλύτερη απειλή και μάλιστα προσφέρεται προς μίσθωση σε άλλους εγκληματίες του κυβερνοχώρου για να βοηθήσει στη διάδοση διαφορετικών τύπων κακόβουλου λογισμικού, όπως ransomware.
Οι υπηρεσίες επιβολής του νόμου σταμάτησαν τελικά την κυριαρχία του τρόμου του κακόβουλου λογισμικού τον Ιανουάριο του 2021, όταν κατέσχεσαν αρκετές εκατοντάδες διακομιστές σε όλο τον κόσμο που το τροφοδοτούσαν. Ωστόσο, οι παρατηρήσεις του MSRC φαίνεται να υποδηλώνουν ότι οι χάκερ προσπαθούν για άλλη μια φορά να ανακατασκευάσουν την κυβερνουποδομή του κακόβουλου λογισμικού εκμεταλλευόμενοι την ευπάθεια πλαστογράφησης της εφαρμογής των Windows που έχει πλέον επιδιορθωθεί.
Ζητώντας από όλους τους χρήστες των Windows να επιδιορθώσουν τα συστήματά τους, η Breen τους υπενθυμίζει επίσης ότι ενώ η ενημερωμένη έκδοση κώδικα της Microsoft θα στερήσει τους χάκερ από τα μέσα για να κρύψουν τα κακόβουλα πακέτα ως έγκυρα, δεν θα εμποδίσει τους εισβολείς να στείλουν συνδέσμους ή συνημμένα σε αυτά τα αρχεία. Αυτό ουσιαστικά σημαίνει ότι οι χρήστες θα πρέπει να εξακολουθούν να είναι προσεκτικοί και να ελέγχουν τα προηγούμενα ενός πακέτου πριν το εγκαταστήσουν.
Στο ίδιο πνεύμα, προσθέτει ότι ενώ το CVE-2021-43890 αποτελεί προτεραιότητα επιδιόρθωσης, εξακολουθεί να είναι μόνο ένα από τα 67 ευπάθειες που έχει επιδιορθώσει η Microsoft στην τελευταία της ενημέρωση κώδικα Τρίτη του 2021. Έξι από αυτά έχουν κερδίσει το κρίσιμη», που σημαίνει ότι μπορούν να χρησιμοποιηθούν από χάκερ για να αποκτήσουν πλήρη, απομακρυσμένο έλεγχο των ευάλωτων υπολογιστών με Windows χωρίς μεγάλη αντίσταση και είναι εξίσου σημαντικό να επιδιορθωθούν με την ευπάθεια πλαστογράφησης εφαρμογών.
