Belangrijkste afhaalrestaurants
- Microsoft heeft de laatste patch dinsdag van het jaar uitgebracht.
- Het lost in totaal 67 kwetsbaarheden op.
-
Een van de kwetsbaarheden hielp hackers schadelijke pakketten door te geven als vertrouwde.
In Microsoft's december Patch Tuesday zit een oplossing voor een vervelende kleine bug die hackers actief gebruiken om gevaarlijke malware te installeren.
De kwetsbaarheid stelt hackers in staat desktopgebruikers te misleiden om schadelijke applicaties te installeren door ze te vermommen als officiële applicaties. In technische termen stelt de bug hackers in staat om de ingebouwde functie van Windows App Installer te gebruiken, ook wel AppX Installer genoemd, om legitieme pakketten te vervalsen, zodat gebruikers gewillig kwaadaardige pakketten installeren.
"Normaal gesproken, als de gebruiker een applicatie probeert te installeren die malware bevat, zoals een Adobe Reader-lookalike, wordt deze niet weergegeven als een geverifieerd pakket, en dat is waar de kwetsbaarheid een rol speelt", legt Kevin Breen uit, Directeur van Cyber Threat Research bij Immersive Labs, aan Lifewire via e-mail. "Dit beveiligingslek stelt een aanvaller in staat om hun kwaadaardige pakket weer te geven alsof het een legitiem pakket is dat is gevalideerd door Adobe en Microsoft."
Slangenolie
Officieel gevolgd door de beveiligingsgemeenschap als CVE-2021-43890, zorgde de bug er in wezen voor dat kwaadaardige pakketten van niet-vertrouwde bronnen veilig en vertrouwd leken. Het is precies vanwege dit gedrag dat Breen gelooft dat deze subtiele kwetsbaarheid voor app-spoofing degene is die desktopgebruikers het meest treft.
"Het is gericht op de persoon achter het toetsenbord, waardoor een aanvaller een installatiepakket kan maken dat malware zoals Emotet bevat", zei Breen, eraan toevoegend dat "de aanvaller dit vervolgens naar de gebruiker stuurt via e-mail of een link, vergelijkbaar met standaard phishing-aanvallen." Wanneer de gebruiker het kwaadaardige pakket installeert, zal het in plaats daarvan de malware installeren.
Toen ze de patch uitbrachten, merkten beveiligingsonderzoekers van het Microsoft Security Response Center (MSRC) op dat de kwaadaardige pakketten die met deze bug werden doorgegeven een minder ernstige impact hadden op computers met gebruikersaccounts die waren geconfigureerd met minder gebruikersrechten, vergeleken met gebruikers die hun computer met beheerdersrechten bedienden.
"Microsoft is op de hoogte van aanvallen die proberen dit beveiligingslek te misbruiken door gebruik te maken van speciaal vervaardigde pakketten die de malwarefamilie bevatten die bekend staat als Emotet/Trickbot/Bazaloader," wees MSRC (Microsoft Security Research Center) in een bericht over een beveiligingsupdate.
Terugkeer van de duivel
Door de wetshandhavingsinstantie van de Europese Unie, Europol, wordt Emotet voor het eerst ontdekt door onderzoekers in 2014. Volgens de instantie is Emotet geëvolueerd tot een veel grotere bedreiging en werd het zelfs te huur aangeboden aan andere cybercriminelen om verschillende soorten malware te helpen verspreiden, zoals ransomware.
Wetshandhavingsinstanties stopten uiteindelijk het schrikbewind van de malware in januari 2021, toen ze honderden servers over de hele wereld in beslag namen die de malware aandreven. De observaties van MSRC lijken er echter op te wijzen dat hackers opnieuw proberen de cyberinfrastructuur van de malware opnieuw op te bouwen door gebruik te maken van de nu gepatchte kwetsbaarheid voor spoofing van de Windows-app.
Door alle Windows-gebruikers te vragen hun systemen te patchen, herinnert Breen hen er ook aan dat hoewel de patch van Microsoft hackers zal beroven van de middelen om kwaadaardige pakketten als geldig te vermommen, het de aanvallers niet zal beletten links of bijlagen naar deze bestanden te verzenden. Dit betekent in wezen dat gebruikers nog steeds voorzichtig moeten zijn en de antecedenten van een pakket moeten controleren voordat ze het installeren.
In dezelfde geest voegt hij eraan toe dat hoewel CVE-2021-43890 een patchprioriteit is, het nog steeds slechts een van de 67 kwetsbaarheden is die Microsoft heeft verholpen in de laatste patch-dinsdag van 2021. Zes hiervan hebben de " kritieke" classificatie, wat betekent dat ze door hackers kunnen worden misbruikt om zonder veel weerstand volledige controle op afstand te krijgen over kwetsbare Windows-computers en net zo belangrijk zijn om te patchen als de kwetsbaarheid voor spoofing van de app.
