Da asporto chiave
- Microsoft ha rilasciato l'ultima patch martedì dell'anno.
- Risolve un totale di 67 vulnerabilità.
-
Una delle vulnerabilità ha aiutato gli hacker a spacciare pacchetti dannosi come affidabili.
Arroccato all'interno del Patch Tuesday di Microsoft di dicembre è una soluzione per un piccolo bug che gli hacker stanno utilizzando attivamente per installare malware pericoloso.
La vulnerabilità consente agli hacker di indurre gli utenti desktop a installare applicazioni dannose mascherandole da ufficiali. In termini tecnici, il bug consente agli hacker di requisire la funzione integrata di Windows App Installer, denominata anche AppX Installer, per falsificare pacchetti legittimi, in modo che gli utenti installino volentieri quelli dannosi.
"In genere, se l'utente tenta di installare un'applicazione contenente malware, come un sosia di Adobe Reader, non verrà visualizzata come pacchetto verificato, ed è qui che entra in gioco la vulnerabilità", ha spiegato Kevin Breen, Direttore della ricerca sulle minacce informatiche presso Immersive Labs, a Lifewire tramite e-mail. "Questa vulnerabilità consente a un utente malintenzionato di visualizzare il proprio pacchetto dannoso come se fosse un pacchetto legittimo convalidato da Adobe e Microsoft."
Olio di serpente
Tracciato ufficialmente dalla comunità della sicurezza come CVE-2021-43890, il bug essenzialmente faceva apparire i pacchetti dannosi provenienti da fonti non attendibili sicuri e affidabili. È proprio a causa di questo comportamento che Breen ritiene che questa sottile vulnerabilità di spoofing delle app sia quella che colpisce maggiormente gli utenti desktop.
"Prende di mira la persona dietro la tastiera, consentendo a un utente malintenzionato di creare un pacchetto di installazione che includa malware come Emotet", ha affermato Breen, aggiungendo che "l'attaccante lo invierà quindi all'utente tramite e-mail o un collegamento, simile agli attacchi di phishing standard." Quando l'utente installa il pacchetto dannoso, installa invece il malware.
Quando hanno rilasciato la patch, i ricercatori di sicurezza del Microsoft Security Response Center (MSRC) hanno notato che i pacchetti dannosi passati utilizzando questo bug avevano un impatto meno grave sui computer con account utente configurati con meno diritti utente, rispetto a utenti che hanno utilizzato il proprio computer con privilegi di amministratore.
"Microsoft è a conoscenza di attacchi che tentano di sfruttare questa vulnerabilità utilizzando pacchetti appositamente predisposti che includono la famiglia di malware nota come Emotet/Trickbot/Bazaloader", ha sottolineato MSRC (Microsoft Security Research Center) in un post di aggiornamento della sicurezza.
Il ritorno del diavolo
Definito il "malware più pericoloso del mondo" dall'agenzia delle forze dell'ordine dell'Unione Europea, Europol, Emotet è stato scoperto per la prima volta dai ricercatori nel 2014. Secondo l'agenzia, Emotet si è evoluto fino a diventare una minaccia molto più grande ed è stato persino offerto in affitto ad altri criminali informatici per aiutare a diffondere diversi tipi di malware, come il ransomware.
Le forze dell'ordine hanno finalmente fermato il regno del terrore del malware nel gennaio 2021, quando hanno sequestrato diverse centinaia di server in tutto il mondo che lo alimentavano. Tuttavia, le osservazioni di MSRC sembrano suggerire che gli hacker stiano ancora una volta tentando di ricostruire l'infrastruttura informatica del malware sfruttando la vulnerabilità dello spoofing delle app di Windows ora patchata.
Chiedendo a tutti gli utenti Windows di patchare i loro sistemi, Breen ricorda loro anche che mentre la patch di Microsoft deruberà gli hacker dei mezzi per mascherare pacchetti dannosi come validi, non impedirà agli aggressori di inviare collegamenti o allegati a questi file. Ciò significa essenzialmente che gli utenti dovranno comunque prestare attenzione e controllare gli antecedenti di un pacchetto prima di installarlo.
Allo stesso modo, aggiunge che mentre CVE-2021-43890 è una priorità di patch, è ancora solo una delle 67 vulnerabilità che Microsoft ha corretto nel suo ultimo Patch Tuesday del 2021. Sei di queste hanno guadagnato il " critico", il che significa che possono essere sfruttati dagli hacker per ottenere il controllo remoto completo su computer Windows vulnerabili senza molta resistenza e sono altrettanto importanti da correggere quanto la vulnerabilità dello spoofing dell'app.
