מזונות חשובים
- Microsoft שחררה את התיקון האחרון של השנה.
- זה מתקן בסך הכל 67 פרצות.
-
אחת מהחולשות סייעה להאקרים להעביר חבילות מזיקות כאל מהימנות.
מוצב בתוך התיקון של דצמבר של מיקרוסופט ביום שלישי הוא תיקון לבאג קטן ומגעיל שבו האקרים משתמשים באופן פעיל כדי להתקין תוכנות זדוניות מסוכנות.
הפגיעות מאפשרת להאקרים להערים על משתמשי שולחן עבודה להתקין יישומים מזיקים על ידי הסוואתם לרשמיים.במונחים טכניים, הבאג מאפשר להאקרים להפעיל את התכונה המובנית של Windows App Installer, המכונה גם AppX Installer, כדי לזייף חבילות לגיטימיות, כך שמשתמשים מתקינים ברצון חבילות זדוניות.
"בדרך כלל, אם המשתמש מנסה להתקין אפליקציה המכילה תוכנה זדונית, כמו Adobe Reader דומה, היא לא תוצג כחבילה מאומתת, וזה המקום שבו הפגיעות נכנסת לפעולה", הסביר קווין ברין, מנהל מחקר איומי סייבר ב-Immersive Labs, אל Lifewire בדוא"ל. "פגיעות זו מאפשרת לתוקף להציג את החבילה הזדונית שלו כאילו הייתה חבילה לגיטימית מאומתת על ידי Adobe ו-Microsoft."
שמן נחשים
באופן רשמי של קהילת האבטחה כ-CVE-2021-43890, הבאג בעצם גרם לחבילות זדוניות ממקורות לא מהימנים להיראות בטוחות ומהימנות. בדיוק בגלל ההתנהגות הזו, ברין מאמין שהפגיעות העדינה הזו של זיוף אפליקציות היא זו שמשפיעה הכי הרבה על משתמשי שולחן העבודה.
"זה מכוון לאדם שמאחורי המקלדת, ומאפשר לתוקף ליצור חבילת התקנה הכוללת תוכנות זדוניות כמו Emotet", אמר ברין, והוסיף כי "התוקף ישלח את זה למשתמש באמצעות דואר אלקטרוני או קישור, בדומה להתקפות פישינג רגילות." כאשר המשתמש יתקין את החבילה הזדונית, הוא יתקין את התוכנה הזדונית במקום זאת.
כשהם פרסמו את התיקון, חוקרי אבטחה ב-Microsoft Security Response Center (MSRC) ציינו שלחבילות הזדוניות שהועברו באמצעות הבאג הזה הייתה השפעה פחות חמורה על מחשבים עם חשבונות משתמש שהוגדרו עם פחות זכויות משתמש, בהשוואה ל- משתמשים שהפעילו את המחשב שלהם עם הרשאות ניהול.
"מיקרוסופט מודעת להתקפות המנסות לנצל את הפגיעות הזו על ידי שימוש בחבילות בעלות מבנה מיוחד הכוללות את משפחת התוכנה הזדונית הידועה בשם Emotet/Trickbot/Bazaloader", ציינה MSRC (מרכז מחקר האבטחה של מיקרוסופט) בפוסט של עדכון אבטחה.
שובו של השטן
המכונה "התוכנה הזדונית המסוכנת ביותר בעולם" על ידי סוכנות אכיפת החוק של האיחוד האירופי, Europol, Emotet התגלתה לראשונה על ידי חוקרים בשנת 2014. לפי הסוכנות, Emotet התפתחה והפכה לאיום גדול בהרבה ואף הייתה אפילו מוצע להשכרה לפושעי סייבר אחרים כדי לסייע בהפצת סוגים שונים של תוכנות זדוניות, כגון תוכנות כופר.
סוכנויות אכיפת החוק עצרו לבסוף את שלטון האימה של התוכנה הזדונית בינואר 2021, כאשר תפסו כמה מאות שרתים ברחבי העולם שהפעילו אותה. עם זאת, נראה שהתצפיות של MSRC מצביעות על כך שהאקרים מנסים שוב לבנות מחדש את תשתית הסייבר של התוכנה הזדונית על ידי ניצול פגיעות הזיוף של אפליקציית Windows שתוקנה כעת.
מבקשה מכל משתמשי Windows לתקן את המערכות שלהם, ברין גם מזכירה להם שבעוד שהתיקון של מיקרוסופט ישדוד מהאקרים את האמצעים להסוות חבילות זדוניות כתקפות, הוא לא ימנע מהתוקפים לשלוח קישורים או קבצים מצורפים לקבצים אלה.זה בעצם אומר שמשתמשים עדיין יצטרכו לנקוט משנה זהירות ולבדוק את הקודמים של חבילה לפני התקנתה.
באותו צורה, הוא מוסיף שלמרות ש-CVE-2021-43890 הוא בעדיפות תיקון, היא עדיין רק אחת מ-67 הפגיעויות שמיקרוסופט תיקנה בתיקון האחרון שלה של 2021. שש מהן זכו ב-" קריטי", כלומר, האקרים יכולים לנצל אותם כדי להשיג שליטה מרחוק מלאה על מחשבי Windows פגיעים ללא התנגדות רבה וחשובים לתיקון לא פחות מהפגיעות של זיוף האפליקציה.