Clé à emporter
- Microsoft a publié le dernier patch mardi de l'année.
- Il corrige un total de 67 vulnérabilités.
-
L'une des vulnérabilités a aidé les pirates à faire passer les paquets nuisibles pour des paquets fiables.
Perché dans le patch mardi de décembre de Microsoft se trouve un correctif pour un petit bogue désagréable que les pirates utilisent activement pour installer des logiciels malveillants dangereux.
Cette vulnérabilité permet aux pirates d'inciter les utilisateurs d'ordinateurs à installer des applications nuisibles en les déguisant en applications officielles. En termes techniques, le bogue permet aux pirates de réquisitionner la fonctionnalité intégrée de Windows App Installer, également appelée AppX Installer, pour usurper des packages légitimes, afin que les utilisateurs installent volontairement des programmes malveillants.
"Généralement, si l'utilisateur essaie d'installer une application contenant un logiciel malveillant, tel qu'un sosie d'Adobe Reader, il ne s'affichera pas en tant que package vérifié, c'est là que la vulnérabilité entre en jeu", a expliqué Kevin Breen, Directeur de la recherche sur les cybermenaces chez Immersive Labs, à Lifewire par e-mail. "Cette vulnérabilité permet à un attaquant d'afficher son package malveillant comme s'il s'agissait d'un package légitime validé par Adobe et Microsoft."
Huile de serpent
Officiellement suivi par la communauté de la sécurité sous le nom de CVE-2021-43890, le bogue a essentiellement fait en sorte que les packages malveillants provenant de sources non fiables semblent sûrs et fiables. C'est exactement à cause de ce comportement que Breen pense que cette subtile vulnérabilité d'usurpation d'application est celle qui affecte le plus les utilisateurs de bureau.
"Il cible la personne derrière le clavier, permettant à un attaquant de créer un package d'installation qui inclut des logiciels malveillants comme Emotet", a déclaré Breen, ajoutant que "l'attaquant l'enverra ensuite à l'utilisateur par e-mail ou via un lien, similaire aux attaques de phishing standard." Lorsque l'utilisateur installe le package malveillant, il installe le logiciel malveillant à la place.
Lors de la publication du correctif, les chercheurs en sécurité du Microsoft Security Response Center (MSRC) ont noté que les packages malveillants transmis à l'aide de ce bogue avaient un impact moins grave sur les ordinateurs dotés de comptes d'utilisateur configurés avec moins de droits d'utilisateur, par rapport à les utilisateurs qui utilisaient leur ordinateur avec des privilèges d'administration.
"Microsoft est au courant des attaques qui tentent d'exploiter cette vulnérabilité en utilisant des packages spécialement conçus qui incluent la famille de logiciels malveillants connue sous le nom d'Emotet/Trickbot/Bazaloader", a souligné le MSRC (Microsoft Security Research Center) dans un message de mise à jour de sécurité.
Le retour du diable
Considéré comme le "malware le plus dangereux au monde" par l'agence de maintien de l'ordre de l'Union européenne, Europol, Emotet a été découvert pour la première fois par des chercheurs en 2014. Selon l'agence, Emotet a évolué pour devenir une menace beaucoup plus importante et a même été proposés à la location à d'autres cybercriminels pour aider à propager différents types de logiciels malveillants, tels que les rançongiciels.
Les forces de l'ordre ont finalement mis fin au règne de terreur du malware en janvier 2021, lorsqu'ils ont saisi plusieurs centaines de serveurs situés à travers le monde qui l'alimentaient. Cependant, les observations de MSRC semblent suggérer que les pirates tentent une fois de plus de reconstruire la cyberinfrastructure du logiciel malveillant en exploitant la vulnérabilité d'usurpation d'application Windows désormais corrigée.
Demandant à tous les utilisateurs de Windows de corriger leurs systèmes, Breen leur rappelle également que même si le correctif de Microsoft privera les pirates des moyens de déguiser les paquets malveillants en valides, il n'empêchera pas les attaquants d'envoyer des liens ou des pièces jointes à ces fichiers. Cela signifie essentiellement que les utilisateurs devront toujours faire preuve de prudence et vérifier les antécédents d'un paquet avant de l'installer.
Dans la même veine, il ajoute que bien que CVE-2021-43890 soit une priorité de correction, ce n'est toujours qu'une des 67 vulnérabilités que Microsoft a corrigées dans son dernier patch mardi de 2021. Six d'entre elles ont mérité le " critique ", ce qui signifie qu'ils peuvent être exploités par des pirates pour obtenir un contrôle à distance complet sur les ordinateurs Windows vulnérables sans trop de résistance et qu'ils sont tout aussi importants à corriger que la vulnérabilité d'usurpation d'application.