Key Takeaway
- Microsoft telah mengeluarkan Patch Selasa terakhir tahun ini.
- Ia membetulkan sejumlah 67 kelemahan.
-
Salah satu kelemahan membantu penggodam menyadari pakej berbahaya sebagai pakej yang dipercayai.
Terdapat dalam Patch Disember Microsoft pada Selasa ialah pembetulan untuk pepijat kecil jahat yang digunakan secara aktif oleh penggodam untuk memasang perisian hasad berbahaya.
Kerentanan membolehkan penggodam memperdaya pengguna desktop supaya memasang aplikasi berbahaya dengan menyamar sebagai aplikasi rasmi. Dari segi teknikal, pepijat membolehkan penggodam mengawal ciri terbina dalam Pemasang Aplikasi Windows, juga dirujuk sebagai Pemasang AppX, untuk memalsukan pakej yang sah, jadi pengguna dengan rela hati memasang yang berniat jahat.
"Biasanya, jika pengguna cuba memasang aplikasi yang mengandungi perisian hasad, seperti Adobe Reader yang serupa, ia tidak akan dipaparkan sebagai pakej yang disahkan, di mana kelemahan itu memainkan peranan," jelas Kevin Breen, Pengarah Penyelidikan Ancaman Siber di Immersive Labs, kepada Lifewire melalui e-mel. "Kerentanan ini membolehkan penyerang memaparkan pakej berniat jahat mereka seolah-olah ia adalah pakej yang sah yang disahkan oleh Adobe dan Microsoft."
Minyak Ular
Dijejaki secara rasmi oleh komuniti keselamatan sebagai CVE-2021-43890, pepijat pada dasarnya menjadikan pakej berniat jahat daripada sumber yang tidak dipercayai kelihatan selamat dan dipercayai. Kerana tingkah laku inilah Breen percaya bahawa kerentanan penipuan aplikasi halus ini adalah yang paling mempengaruhi pengguna desktop.
"Ia menyasarkan orang di belakang papan kekunci, membenarkan penyerang membuat pakej pemasangan yang termasuk perisian hasad seperti Emotet, " kata Breen, sambil menambah bahawa "penyerang kemudiannya akan menghantar ini kepada pengguna melalui e-mel atau pautan, serupa dengan serangan pancingan data standard." Apabila pengguna memasang pakej berniat jahat, ia akan memasang perisian hasad sebaliknya.
Semasa mereka mengeluarkan tampung, penyelidik keselamatan di Pusat Tindak Balas Keselamatan Microsoft (MSRC) mendapati pakej berniat jahat yang diluluskan menggunakan pepijat ini mempunyai kesan yang kurang teruk pada komputer dengan akaun pengguna yang dikonfigurasikan dengan hak pengguna yang lebih sedikit, berbanding dengan pengguna yang mengendalikan komputer mereka dengan keistimewaan pentadbiran.
"Microsoft menyedari serangan yang cuba mengeksploitasi kerentanan ini dengan menggunakan pakej yang direka khas yang termasuk keluarga perisian hasad yang dikenali sebagai Emotet/Trickbot/Bazaloader," kata MSRC (Pusat Penyelidikan Keselamatan Microsoft) dalam catatan kemas kini keselamatan.
Kepulangan Iblis
Dirujuk sebagai "malware paling berbahaya di dunia" oleh agensi penguatkuasaan undang-undang Kesatuan Eropah, Europol, Emotet pertama kali ditemui oleh penyelidik pada 2014. Menurut agensi itu, Emotet berkembang menjadi ancaman yang lebih besar malah ditawarkan untuk disewa kepada penjenayah siber lain untuk membantu menyebarkan pelbagai jenis perisian hasad, seperti perisian tebusan.
Agensi penguatkuasaan undang-undang akhirnya menghentikan pemerintahan keganasan perisian hasad pada Januari 2021, apabila mereka merampas beberapa ratus pelayan yang terletak di seluruh dunia yang menjanakannya. Walau bagaimanapun, pemerhatian MSRC nampaknya mencadangkan penggodam sekali lagi cuba membina semula infrastruktur siber perisian hasad dengan mengeksploitasi kerentanan pemalsuan aplikasi Windows yang kini telah ditampal.
Meminta semua pengguna Windows untuk menampal sistem mereka, Breen juga mengingatkan mereka bahawa walaupun tampung Microsoft akan merompak cara penggodam untuk menyamarkan pakej berniat jahat sebagai sah, ia tidak akan menghalang penyerang daripada menghantar pautan atau lampiran kepada fail ini. Ini bermakna pengguna masih perlu berhati-hati dan menyemak anteseden sesuatu pakej sebelum memasangnya.
Dalam nada yang sama, beliau menambah bahawa walaupun CVE-2021-43890 merupakan keutamaan tampalan, ia masih merupakan salah satu daripada 67 kelemahan yang telah diperbaiki oleh Microsoft dalam Patch Selasa terakhirnya pada 2021. Enam daripada ini telah memperoleh " penilaian kritikal", yang bermaksud mereka boleh dieksploitasi oleh penggodam untuk mendapatkan kawalan jauh yang lengkap ke atas komputer Windows yang terdedah tanpa banyak rintangan dan sama pentingnya untuk ditambal seperti kerentanan penipuan apl.
