Princípios importantes
- A Microsoft lançou o último Patch Tuesday do ano.
- Corrige um total de 67 vulnerabilidades.
-
Uma das vulnerabilidades ajudou os hackers a passarem pacotes nocivos como confiáveis.
Empoleirado no Patch Tuesday de dezembro da Microsoft há uma correção para um pequeno bug desagradável que os hackers estão usando ativamente para instalar malware perigoso.
A vulnerabilidade permite que os hackers induzam os usuários de desktop a instalar aplicativos prejudiciais, disfarçando-os como oficiais. Em termos técnicos, o bug permite que hackers comandem o recurso interno do Windows App Installer, também conhecido como AppX Installer, para falsificar pacotes legítimos, para que os usuários instalem pacotes maliciosos voluntariamente.
"Normalmente, se o usuário tentar instalar um aplicativo contendo malware, como um semelhante ao Adobe Reader, ele não será exibido como um pacote verificado, que é onde a vulnerabilidade entra em jogo ", explicou Kevin Breen, Diretor de Pesquisa de Ameaças Cibernéticas da Immersive Labs, para a Lifewire por e-mail. "Esta vulnerabilidade permite que um invasor exiba seu pacote malicioso como se fosse um pacote legítimo validado pela Adobe e pela Microsoft."
Óleo de Cobra
Oficialmente rastreado pela comunidade de segurança como CVE-2021-43890, o bug essencialmente fez com que pacotes maliciosos de fontes não confiáveis parecessem seguros e confiáveis. É exatamente por causa desse comportamento que Breen acredita que essa vulnerabilidade sutil de falsificação de aplicativos é a que mais afeta os usuários de desktop.
"Ele tem como alvo a pessoa por trás do teclado, permitindo que um invasor crie um pacote de instalação que inclui malware como o Emotet", disse Breen, acrescentando que "o invasor enviará isso ao usuário por e-mail ou link, semelhante aos ataques de phishing padrão." Quando o usuário instala o pacote malicioso, ele instala o malware.
Ao lançar o patch, pesquisadores de segurança do Microsoft Security Response Center (MSRC) notaram que os pacotes maliciosos passados usando esse bug tiveram um impacto menos severo em computadores com contas de usuário configuradas com menos direitos de usuário, em comparação com usuários que operavam seus computadores com privilégios administrativos.
"A Microsoft está ciente dos ataques que tentam explorar essa vulnerabilidade usando pacotes especialmente criados que incluem a família de malware conhecida como Emotet/Trickbot/Bazaloader ", apontou o MSRC (Microsoft Security Research Center) em uma postagem de atualização de segurança.
O Retorno do Diabo
Referido como o "malware mais perigoso do mundo" pela agência de aplicação da lei da União Europeia, Europol, o Emotet foi descoberto por pesquisadores em 2014. De acordo com a agência, o Emotet evoluiu para se tornar uma ameaça muito maior e foi até mesmo oferecido para aluguel a outros cibercriminosos para ajudar a espalhar diferentes tipos de malware, como ransomware.
As agências de aplicação da lei finalmente interromperam o reinado de terror do malware em janeiro de 2021, quando apreenderam várias centenas de servidores localizados em todo o mundo que o alimentavam. No entanto, as observações do MSRC parecem sugerir que os hackers estão mais uma vez tentando reconstruir a infraestrutura cibernética do malware explorando a vulnerabilidade de falsificação de aplicativos do Windows agora corrigida.
Pedindo a todos os usuários do Windows que corrijam seus sistemas, Breen também os lembra que, embora o patch da Microsoft roube aos hackers os meios de disfarçar pacotes maliciosos como válidos, não impedirá que os invasores enviem links ou anexos para esses arquivos. Isso significa essencialmente que os usuários ainda terão que ter cuidado e verificar os antecedentes de um pacote antes de instalá-lo.
Na mesma linha, ele acrescenta que, embora o CVE-2021-43890 seja uma prioridade de correção, ainda é apenas uma das 67 vulnerabilidades que a Microsoft corrigiu em seu Patch Tuesday final de 2021. Seis delas ganharam o " critical", o que significa que eles podem ser explorados por hackers para obter controle remoto completo sobre computadores Windows vulneráveis sem muita resistência e são tão importantes para corrigir quanto a vulnerabilidade de falsificação do aplicativo.
