Key takeaways
- Microsoft har släppt årets sista patch-tisdag.
- Det fixar tot alt 67 sårbarheter.
-
En av sårbarheterna hjälpte hackare att skicka ut skadliga paket som pålitliga.
Perched inom Microsofts December Patch Tuesday är en fix för en otäck liten bugg som hackare aktivt använder för att installera farlig skadlig programvara.
Sårbarheten gör det möjligt för hackare att lura datoranvändare att installera skadliga program genom att maskera dem som officiella. I tekniska termer gör buggen det möjligt för hackare att använda den inbyggda funktionen i Windows App Installer, även kallad AppX Installer, för att förfalska legitima paket, så att användare gärna installerar skadliga paket.
"Om användaren försöker installera en applikation som innehåller skadlig programvara, till exempel en Adobe Reader-liknande, visas den inte som ett verifierat paket, vilket är där sårbarheten kommer in i bilden", förklarade Kevin Breen, Direktör för Cyber Threat Research på Immersive Labs, till Lifewire via e-post. "Denna sårbarhet tillåter en angripare att visa sitt skadliga paket som om det vore ett legitimt paket som validerats av Adobe och Microsoft."
Snake Oil
Företaget spåras officiellt av säkerhetscommunityt som CVE-2021-43890 och gjorde att skadliga paket från otillförlitliga källor verkade säkra och pålitliga. Det är precis på grund av detta beteende som Breen tror att denna subtila sårbarhet för appspoofing är den som påverkar datoranvändare mest.
"Det riktar sig mot personen bakom tangentbordet, vilket gör att en angripare kan skapa ett installationspaket som innehåller skadlig programvara som Emotet," sa Breen och tillade att "angriparen kommer sedan att skicka detta till användaren via e-post eller en länk, liknar vanliga nätfiskeattacker." När användaren installerar det skadliga paketet installerar den skadlig programvara istället.
När de släppte patchen noterade säkerhetsforskare vid Microsoft Security Response Center (MSRC) att de skadliga paketen som skickades med denna bugg hade en mindre allvarlig inverkan på datorer med användarkonton som var konfigurerade med färre användarrättigheter, jämfört med användare som använde sin dator med administrativa rättigheter.
"Microsoft är medvetet om attacker som försöker utnyttja denna sårbarhet genom att använda specialgjorda paket som inkluderar skadlig programvara som kallas Emotet/Trickbot/Bazaloader", påpekade MSRC (Microsoft Security Research Center) i ett säkerhetsuppdateringsinlägg.
Return of the Devil
Kallas till som "världens farligaste skadliga program" av Europeiska unionens brottsbekämpande organ, Europol, Emotet upptäcktes först av forskare 2014. Enligt byrån utvecklades Emotet till att bli ett mycket större hot och var till och med erbjuds att hyra till andra cyberbrottslingar för att hjälpa till att sprida olika typer av skadlig programvara, till exempel ransomware.
Rättsbekämpande myndigheter stoppade äntligen skadlig programvaras skräckvälde i januari 2021, när de beslagtog flera hundra servrar runt om i världen som drev den. Observationerna från MSRC tycks dock tyda på att hackare återigen försöker återuppbygga skadlig programvaras cyberinfrastruktur genom att utnyttja den nu patchade Windows-appens spoofing-sårbarhet.
Breen ber alla Windows-användare att patcha sina system och påminner dem också om att även om Microsofts patch kommer att beröva hackare möjligheten att dölja skadliga paket som giltiga, kommer den inte att hindra angriparna från att skicka länkar eller bilagor till dessa filer. Detta innebär i huvudsak att användarna fortfarande måste vara försiktiga och kontrollera antecedenten för ett paket innan de installerar det.
I samma veva tillägger han att även om CVE-2021-43890 är en lappningsprioritet, är det fortfarande bara en av de 67 sårbarheter som Microsoft har fixat i sin sista patch tisdag 2021. Sex av dessa har fått " kritisk", vilket innebär att de kan utnyttjas av hackare för att få fullständig fjärrkontroll över sårbara Windows-datorer utan mycket motstånd och är lika viktiga att korrigera som sårbarheten för appspoofing.
