Microsoft, Emotet kötü amaçlı yazılım yüklerini sağlamak için vahşi doğada istismar edilen yüksek önem derecesine sahip bir Windows sıfırıncı gün güvenlik açığını yamaladı.
CVE-2021-43890 olarak izlenen bir Windows AppX Installer yanıltıcı güvenlik açığı olan hata, kullanıcı etkileşimi gerektiren yüksek karmaşıklık saldırılarında düşük kullanıcı ayrıcalıklarına sahip tehdit aktörleri tarafından uzaktan kullanılabilir.
“AppX yükleyicide Microsoft Windows’u etkileyen bir kimlik sahtekarlığı güvenlik açığı raporlarını araştırdık. Microsoft, Emotet/Trickbot/Bazaloader olarak bilinen kötü amaçlı yazılım ailesini içeren özel hazırlanmış paketler kullanarak bu güvenlik açığından yararlanmaya çalışan saldırıların farkındadır,” Microsoft açıklar.
“Saldırgan, kimlik avı kampanyalarında kullanılmak üzere kötü amaçlı bir ek oluşturabilir. Saldırganın daha sonra kullanıcıyı özel hazırlanmış eki açmaya ikna etmesi gerekir.
“Hesapları sistemde daha az kullanıcı haklarına sahip olacak şekilde yapılandırılmış kullanıcılar, yönetici kullanıcı haklarıyla çalışan kullanıcılardan daha az etkilenebilir.”
Saldırılar nasıl engellenir
İstismar girişimlerini engellemek için Windows kullanıcılarının platformları için yamalı Microsoft Desktop Installer’ı yüklemeleri gerekir:
Microsoft ayrıca, Microsoft Desktop Installer güncellemelerini hemen yükleyemeyen müşteriler için azaltma önlemleri sağlar.
Redmonds tarafından önerilen azaltma, etkinleştirmeyi içerir BlockNonAdminUserInstall yönetici olmayanların Windows Uygulama paketlerini yüklemesini önlemek ve AllowAllTrustedAppToInstall Microsoft Store dışından uygulama yüklemelerini engellemek için.
Ek bilgi şurada mevcuttur: geçici çözümler bölümü CVE-2021-4389 güvenlik danışma belgesi.
Emotet, sahte Adobe Windows Uygulama Yükleyicilerini zorluyor
BleepingComputer daha önce Emotet’in Adobe PDF yazılımı olarak kamufle edilmiş kötü amaçlı Windows App Installer paketlerini kullanarak yayılmaya başladığını bildirmişti.
Microsoft, CVE-2021-4389 sıfır gününü bu kampanyaya doğrudan bağlamasa da, Redmond’un bugünün danışma belgesinde paylaştığı ayrıntılar, son Emotet saldırılarında kullanılan taktiklerle örtüşüyor.
1 Aralık’ta bildirdiğimiz gibi, Emotet çetesi Windows 10 sistemlerine bulaşmaya başladı App Installer yerleşik özelliğini (veya Microsoft’un dediği gibi AppX Installer) kullanarak kötü amaçlı paketler yükleyerek.
Emotet’in bu kampanyada Windows App Installer’ı nasıl kötüye kullandığı da dahil olmak üzere daha fazla bilgi şurada bulunabilir: önceki rapor.
Aynı taktik daha önce de uygulanmıştı. BazarLoader’ı dağıtmak için Microsoft Azure’da barındırılan kötü amaçlı paketleri dağıtarak kötü amaçlı yazılım.
ifade bir zamana kadar en çok dağıtılan kötü amaçlı yazılımdı kolluk kuvvetleri operasyonu kapattı ve botnet’in altyapısını ele geçirdi Ocak ayında. On ay sonra, Kasım ayında, Emotet yeniden dirildi ve TrickBot çetesinin yardımıyla yeniden inşa edilmeye başlandı.
Geri dönüşünden bir gün sonra, Emotet spam kampanyaları yeniden başladı Kötü amaçlı yazılımı kurbanların sistemlerine yerleştirmek için tasarlanmış çeşitli yemler ve kötü amaçlı belgeler kullanan kimlik avı e-postalarıyla.