Conclusiones clave
- Microsoft ha lanzado el último Patch Tuesday del año.
- Repara un total de 67 vulnerabilidades.
-
Una de las vulnerabilidades ayudó a los hackers a pasar paquetes dañinos como confiables.
El martes de parches de diciembre de Microsoft es una solución para un pequeño error desagradable que los piratas informáticos están utilizando activamente para instalar malware peligroso.
La vulnerabilidad permite a los piratas informáticos engañar a los usuarios de escritorio para que instalen aplicaciones dañinas disfrazándolas de aplicaciones oficiales. En términos técnicos, el error permite a los piratas informáticos apoderarse de la función integrada del instalador de aplicaciones de Windows, también conocida como instalador de AppX, para falsificar paquetes legítimos, de modo que los usuarios instalen voluntariamente los maliciosos.
"Normalmente, si el usuario intenta instalar una aplicación que contiene malware, como una versión similar de Adobe Reader, no se mostrará como un paquete verificado, que es donde entra en juego la vulnerabilidad", explicó Kevin Breen, Director de Investigación de Amenazas Cibernéticas en Immersive Labs, a Lifewire por correo electrónico. "Esta vulnerabilidad permite que un atacante muestre su paquete malicioso como si fuera un paquete legítimo validado por Adobe y Microsoft".
Aceite de serpiente
Oficialmente rastreado por la comunidad de seguridad como CVE-2021-43890, el error esencialmente hizo que los paquetes maliciosos de fuentes no confiables parecieran seguros y confiables. Es precisamente por este comportamiento que Breen cree que esta sutil vulnerabilidad de falsificación de aplicaciones es la que más afecta a los usuarios de escritorio.
"Se dirige a la persona detrás del teclado, lo que permite que un atacante cree un paquete de instalación que incluye malware como Emotet", dijo Breen, y agregó que "el atacante luego enviará esto al usuario por correo electrónico o un enlace, similar a los ataques de phishing estándar". Cuando el usuario instala el paquete malicioso, instalará el malware en su lugar.
Cuando lanzaron el parche, los investigadores de seguridad del Centro de respuestas de seguridad de Microsoft (MSRC) notaron que los paquetes maliciosos que pasaban con este error tenían un impacto menos severo en las computadoras con cuentas de usuario configuradas con menos derechos de usuario, en comparación con usuarios que operaron su computadora con privilegios administrativos.
"Microsoft es consciente de los ataques que intentan aprovechar esta vulnerabilidad mediante el uso de paquetes especialmente diseñados que incluyen la familia de malware conocida como Emotet/Trickbot/Bazaloader", señaló MSRC (Microsoft Security Research Center) en una publicación de actualización de seguridad..
El regreso del diablo
Conocido como el "malware más peligroso del mundo" por la agencia de aplicación de la ley de la Unión Europea, Europol, Emotet fue descubierto por primera vez por investigadores en 2014. Según la agencia, Emotet evolucionó hasta convertirse en una amenaza mucho mayor e incluso fue ofrecido en alquiler a otros ciberdelincuentes para ayudar a propagar diferentes tipos de malware, como ransomware.
Los organismos encargados de hacer cumplir la ley finalmente detuvieron el reinado del terror del malware en enero de 2021, cuando incautaron varios cientos de servidores ubicados en todo el mundo que lo alimentaban. Sin embargo, las observaciones de MSRC parecen sugerir que los piratas informáticos intentan una vez más reconstruir la ciberinfraestructura del malware explotando la vulnerabilidad de suplantación de identidad de la aplicación de Windows, ahora parcheada.
Al pedirles a todos los usuarios de Windows que parcheen sus sistemas, Breen también les recuerda que si bien el parche de Microsoft privará a los piratas informáticos de los medios para disfrazar paquetes maliciosos como válidos, no evitará que los atacantes envíen enlaces o archivos adjuntos a estos archivos. Básicamente, esto significa que los usuarios aún tendrán que tener cuidado y comprobar los antecedentes de un paquete antes de instalarlo.
Del mismo modo, añade que, si bien CVE-2021-43890 es una prioridad de parcheo, sigue siendo solo una de las 67 vulnerabilidades que Microsoft ha solucionado en su parche final del martes de 2021. Seis de ellas se han ganado el " calificación "crítica", lo que significa que los piratas informáticos pueden explotarlos para obtener un control remoto completo sobre las computadoras Windows vulnerables sin mucha resistencia y son tan importantes para parchear como la vulnerabilidad de suplantación de la aplicación.