El martes de parches de diciembre de Microsoft ayuda a eliminar el malware peligroso

Encaramado dentro de Microsoft Martes de parches de diciembre es una solución para un pequeño error desagradable que los piratas informáticos están utilizando activamente para instalar malware peligroso.

La vulnerabilidad permite a los piratas informáticos engañar a los usuarios de escritorio para que instalen aplicaciones dañinas disfrazándolas de aplicaciones oficiales. En términos técnicos, el error permite a los piratas informáticos apoderarse de la función integrada del instalador de aplicaciones de Windows, también conocida como instalador de AppX, para falsificar paquetes legítimos, de modo que los usuarios instalen voluntariamente los maliciosos.

"Por lo general, si el usuario intenta instalar una aplicación que contiene malware, como un Adobe Reader similar, no se mostrará como un paquete verificado, que es donde entra en juego la vulnerabilidad", explicó. kevin breenDirector de Investigación de Amenazas Cibernéticas en Laboratorios de inmersión, a Lifewire por correo electrónico. "Esta vulnerabilidad permite que un atacante muestre su paquete malicioso como si fuera un paquete legítimo validado por Adobe y Microsoft".

Aceite de serpiente

Oficialmente rastreado por la comunidad de seguridad como CVE-2021-43890, el error esencialmente hizo que los paquetes maliciosos de fuentes no confiables parecieran seguros y confiables. Es precisamente por este comportamiento que Breen cree que esta sutil vulnerabilidad de falsificación de aplicaciones es la que más afecta a los usuarios de escritorio.

"Se dirige a la persona detrás del teclado, lo que permite que un atacante cree un paquete de instalación que incluye malware como Emotet", dijo Breen, y agregó que "el atacante luego enviará esto al usuario por correo electrónico o un enlace, similar a los ataques de phishing estándar". ." Cuando el usuario instala el paquete malicioso, instalará el malware en su lugar.

Cuando lanzaron el parche, los investigadores de seguridad del Centro de respuestas de seguridad de Microsoft (MSRC) notaron que los paquetes maliciosos que se transmitieron con este error tuvieron un impacto menos severo en las computadoras con cuentas de usuario configuradas con menos derechos de usuario, en comparación con los usuarios que operaron su computadora. con privilegios administrativos.

"Microsoft está al tanto de los ataques que intentan explotar esta vulnerabilidad mediante el uso de paquetes especialmente diseñados que incluyen la familia de malware conocida como Emotet/Trickbot/Bazaloader". señaló MSRC (Microsoft Security Research Center) en una publicación de actualización de seguridad.

El regreso del diablo

Conocido como el "malware más peligroso del mundo" por la agencia de aplicación de la ley de la Unión Europea, EuropolEmotet fue descubierto por primera vez por investigadores en 2014. Según la agencia, Emotet evolucionó hasta convertirse en una amenaza mucho mayor e incluso se ofreció a contratar a otros ciberdelincuentes para ayudar a propagar diferentes tipos de malware, como el ransomware.

Los organismos encargados de hacer cumplir la ley finalmente detuvieron el reinado del terror del malware en enero de 2021, cuando incautaron varios cientos de servidores ubicados en todo el mundo que lo alimentaban. Sin embargo, las observaciones de MSRC parecen sugerir que los piratas informáticos intentan una vez más reconstruir la ciberinfraestructura del malware explotando la vulnerabilidad de suplantación de la aplicación de Windows, ahora parcheada.

Al pedirles a todos los usuarios de Windows que parcheen sus sistemas, Breen también les recuerda que mientras que el parche de Microsoft robará a los piratas informáticos los medios para disfrazar paquetes maliciosos como válidos, no evitará que los atacantes envíen enlaces o archivos adjuntos a estos archivos. Básicamente, esto significa que los usuarios aún deberán tener cuidado y verificar los antecedentes de un paquete antes de instalarlo.

En la misma línea, agrega que si bien CVE-2021-43890 es una prioridad de parcheo, sigue siendo solo una de las 67 vulnerabilidades que Microsoft solucionó en su parche final del martes de 2021. Seis de estos obtuvieron la calificación "crítica", que significa que los piratas informáticos pueden explotarlos para obtener un control remoto completo sobre las computadoras Windows vulnerables sin mucha resistencia y son tan importantes para parchear como la vulnerabilidad de suplantación de la aplicación.