Η Microsoft έχει επιδιορθώσει μια ευπάθεια zero-day υψηλής σοβαρότητας στα Windows, η οποία εκμεταλλεύεται ενεργά για την παράδοση ωφέλιμων φορτίων του κακόβουλου λογισμικού Emotet.
Δείτε επίσης: Ελαττώματα σε Microsoft και Google OAuth καταχρώνται σε επιθέσεις phishing
Πρόκειται για ένα ελάττωμα ασφαλείας του Windows AppX Installer, αναφερόμενο ως CVE-2021-43890, που μπορεί να αξιοποιηθεί εξ αποστάσεως από κακόβουλους παράγοντες με χαμηλά δικαιώματα χρήστη, σε επιθέσεις υψηλής πολυπλοκότητας που απαιτούν αλληλεπίδραση με τον χρήστη.
«Έχουμε ερευνήσει αναφορές για μια ευπάθεια πλαστογράφησης στο πρόγραμμα εγκατάστασης AppX που επηρεάζει τα Microsoft Windows. Η Microsoft ανακάλυψε επιθέσεις που επιχειρούν να εκμεταλλευτούν αυτήν την ευπάθεια χρησιμοποιώντας ειδικά δημιουργημένα πακέτα που περιλαμβάνουν την οικογένεια κακόβουλου λογισμικού που είναι γνωστή ως Emotet/Trickbot/Bazaloader», εξηγεί η εταιρεία.
«Ένας εισβολέας θα μπορούσε να δημιουργήσει ένα κακόβουλο συνημμένο που θα χρησιμοποιηθεί σε καμπάνιες ηλεκτρονικού “ψαρέματος” (phishing). Στη συνέχεια, ο εισβολέας θα πρέπει να πείσει τον χρήστη να ανοίξει το ειδικά κατασκευασμένο συνημμένο.»
Δείτε ακόμα: Microsoft: Κατάσχεσε ιστότοπους που χρησιμοποιούνται από κρατικούς hacker της Κίνας
Για να αποκλείσουν τις προσπάθειες εκμετάλλευσης του Windows AppX Installer, οι χρήστες των Windows πρέπει να εγκαταστήσουν το ενημερωμένο πρόγραμμα εγκατάστασης του Microsoft Desktop Installer για την πλατφόρμα τους:
Microsoft Desktop Installer 1.16 για Windows 10, έκδοση 1809 και νεότερη έκδοση
Microsoft Desktop Installer 1.11 για Windows 10, έκδοση 1709 ή Windows 10, έκδοση 1803
Η Microsoft παρέχει επίσης μέτρα μετριασμού για πελάτες που δεν μπορούν να εγκαταστήσουν αμέσως τις ενημερώσεις του Microsoft Desktop Installer.
Ο μετριασμός που προτείνει η Redmonds περιλαμβάνει την ενεργοποίηση του BlockNonAdminUserInstall για να αποτρέψει τους μη διαχειριστές να εγκαταστήσουν πακέτα εφαρμογών Windows και το AllowAllTrustedAppToInstall για τον αποκλεισμό εγκαταστάσεων εφαρμογών εκτός του Microsoft Store.
Δείτε επίσης: Το νέο Microsoft Store κυκλοφορεί τώρα σε υπολογιστές με Windows 10
Αν και η Microsoft δεν συνέδεσε απευθείας το CVE-2021-4389 zero-day με αυτήν την καμπάνια, οι λεπτομέρειες που κοινοποίησε η Redmond στη συμβουλευτική της σχετίζεται με τις τακτικές που χρησιμοποιήθηκαν σε πρόσφατες επιθέσεις Emotet.
Η συμμορία Emotet άρχισε να μολύνει συστήματα Windows 10 εγκαθιστώντας κακόβουλα πακέτα χρησιμοποιώντας την ενσωματωμένη λειτουργία App Installer ή αλλιώς Microsoft AppX Installer. Το Emotet ήταν το κακόβουλο λογισμικό με τη μεγαλύτερη διανομή έως ότου μια επιχείρηση επιβολής του νόμου το έκλεισε και κατέλαβε την υποδομή του botnet τον Ιανουάριο. Δέκα μήνες αργότερα, τον Νοέμβριο, το Emotet αναστήθηκε και άρχισε να ξαναχτίζεται με τη βοήθεια της συμμορίας TrickBot.
