Мицрософт је поправио велику рањивост Виндовс нултог дана која је била искоришћена у дивљини за испоруку Емотет малвера.
Грешка, лажна безбедносна грешка у Виндовс АппКс инсталатеру праћеном као ЦВЕ-2021-43890, могу даљински да искористе актери претњи са ниским корисничким привилегијама у веома сложеним нападима који захтевају интеракцију корисника.
„Прегледали смо извештаје о рањивости на пхисхинг у инсталатеру АппКс-а који утиче на Мицрософт Виндовс. Мицрософт је свестан напада који покушавају да искористе ову рањивост коришћењем посебно направљених пакета који укључују породицу малвера познатих као Емотет / Трицкбот / Базалоадер“, објашњава Мицрософт.
„Нападач би могао да направи злонамерни прилог који би се користио у пхисхинг кампањама. Нападач би морао да убеди корисника да отвори посебно направљен прилог.
„Корисници чији су налози конфигурисани да имају мање корисничких права у систему могу бити мање погођени од корисника који раде са административним корисничким правима.“
Како блокирати нападе
Да би блокирали покушаје експлоатације, корисници Виндовс-а би требало да инсталирају Мицрософт Десктоп Инсталлер закрпљен за њихову платформу:
Мицрософт такође обезбеђује мере ублажавања за клијенте који нису у могућности да одмах инсталирају ажурирања из програма Мицрософт Десктоп Инсталлер.
Редмондс препоручено ублажавање укључује омогућавање БлоцкНонАдминУсерИнсталл да спречите неадминистраторе да инсталирају пакете Виндовс апликација и АлловАллТрустедАппТоИнсталл да блокирате инсталацију апликација изван Мицрософт продавнице.
Више информација можете пронаћи у одељку за заобилажење у Фиелд Сецурити Адвисори ЦВЕ-2021-4389.
Емотет гура лажне програме за инсталацију Адобе Виндовс апликација
БлеепингЦомпутер је раније известио да је Емотет почео да се шири користећи злонамерне Виндовс Апп Инсталлер пакете прерушене у Адобе ПДФ софтвер.
Иако Мицрософт није директно повезао ЦВЕ-2021-4389 нултог дана са овом кампањом, детаљи које је Редмонд поделио у данашњој серији упозорења повезују се са тактиком коришћеном у недавним Емотет нападима.
Као што је објављено 1. децембра, Емотет банда је почела да инфицира Виндовс 10 системе инсталирањем злонамерних пакета користећи уграђени Апп Инсталлер (или, како га Мицрософт назива, АппКс Инсталлер).
Више информација, укључујући начин на који је Емотет злоупотребио Виндовс Апп Инсталлер у овој кампањи, можете пронаћи у нашем претходном извештају.
Програм за инсталацију апликације тражи од вас да инсталирате лажну Адобе ПДФ компоненту (БлеепингЦомпутер)
Иста тактика је раније коришћена за дистрибуцију БазарЛоадер малвера тако што се дистрибуирају злонамерни пакети хостовани на Мицрософт Азуре.
Емотет је био најраспрострањенији злонамерни софтвер све док полицијска операција није престала и преузела инфраструктуру ботнета у јануару. Десет месеци касније, у новембру, Емотет је васкрсао и почео да се обнавља уз помоћ ТрицкБот банде.
Дан након повратка, Емотетове спам кампање су поново покренуте са пхисхинг е-маиловима користећи различите мамце и злонамерне документе дизајниране да испоруче малвер системима жртава.
Шта мислиш?
