Microsoft corrige le programme d'installation Windows AppX zero-day utilisé par Emotet

  • Principal
  • Nouvelles
  • Microsoft corrige le programme d'installation Windows AppX zero-day utilisé par Emotet

Microsoft a corrigé une vulnérabilité Windows zero-day de haute gravité qui était exploitée à l'état sauvage pour fournir des charges utiles de logiciels malveillants Emotet.

Le bogue, une faille de sécurité usurpée dans le programme d'installation de Windows AppX suivi comme CVE-2021-43890, peut être exploité à distance par des acteurs de la menace avec des privilèges d'utilisateur faibles dans des attaques très complexes qui nécessitent une interaction de l'utilisateur.

'Nous avons examiné les rapports d'une vulnérabilité de phishing dans le programme d'installation d'AppX affectant Microsoft Windows. Microsoft est au courant des attaques qui tentent d'exploiter cette vulnérabilité en utilisant des packages spécialement conçus qui incluent la famille de logiciels malveillants connue sous le nom d'Emotet / Trickbot / Bazaloader », explique Microsoft.

'Un attaquant pourrait créer une pièce jointe malveillante à utiliser dans des campagnes de phishing. L'attaquant devrait convaincre l'utilisateur d'ouvrir la pièce jointe spécialement conçue.

'Les utilisateurs dont les comptes sont configurés pour avoir moins de droits d'utilisateur dans le système peuvent être moins affectés que les utilisateurs opérant avec des droits d'utilisateur administratifs.'

Comment bloquer les attaques

Pour bloquer les tentatives d'exploit, les utilisateurs de Windows doivent installer le Microsoft Desktop Installer corrigé pour leur plate-forme :

Microsoft fournit également des mesures d'atténuation pour les clients qui ne peuvent pas installer immédiatement les mises à jour à partir de Microsoft Desktop Installer.

L'atténuation recommandée par Redmonds inclut l'activation BlockNonAdminUserInstall pour empêcher les non-administrateurs d'installer des packages d'applications Windows et AllowAllTrustedAppToInstall pour bloquer l'installation d'applications en dehors du Microsoft Store.

Plus d'informations peuvent être trouvées dans la section des solutions de contournement de l'avis de sécurité sur le terrain CVE-2021-4389.

Emotet pousse de faux installateurs d'applications Adobe Windows

BleepingComputer a précédemment signalé qu'Emotet avait commencé à se propager à l'aide de packages Windows App Installer malveillants déguisés en logiciels Adobe PDF.

Bien que Microsoft n'ait pas directement lié le CVE-2021-4389 du jour zéro à cette campagne, les détails partagés par Redmond dans la série d'avertissements d'aujourd'hui sont liés aux tactiques utilisées lors des récentes attaques d'Emotet.

Comme indiqué le 1er décembre, le gang Emotet a commencé à infecter les systèmes Windows 10 en installant des packages malveillants à l'aide de l'App Installer intégré (ou, comme l'appelle Microsoft, AppX Installer).

Plus d'informations, y compris comment Windows App Installer a été abusé par Emotet dans cette campagne, peuvent être trouvées dans notre rapport précédent.

Le programme d'installation de l'application vous invite à installer un faux composant Adobe PDF

Le programme d'installation de l'application vous invite à installer le faux composant Adobe PDF (BleepingComputer)

La même tactique était auparavant utilisée pour distribuer le malware BazarLoader en distribuant des packages malveillants hébergés sur Microsoft Azure.

Emotet était le logiciel malveillant le plus répandu jusqu'à ce qu'une opération de police s'arrête et prenne le contrôle de l'infrastructure du botnet en janvier. Dix mois plus tard, en novembre, Emotet a été ressuscité et a commencé à se reconstruire avec l'aide du gang TrickBot.

Un jour après son retour, les campagnes de spam d'Emotet ont redémarré avec des e-mails de phishing utilisant divers appâts et documents malveillants conçus pour transmettre le logiciel malveillant aux systèmes des victimes.

Qu'est-ce que tu penses?