Microsoft désactive le pilote de protocole MSIX surutilisé dans les attaques Emotet

  • Principal
  • Nouvelles
  • Microsoft désactive le pilote de protocole MSIX surutilisé dans les attaques Emotet

Microsoft a désactivé le pilote de protocole MSIX ms-appinstaller exploité dans les attaques de logiciels malveillants pour installer des applications malveillantes directement à partir d'un site Web via une vulnérabilité d'usurpation de Windows AppX Installer.

La décision d'aujourd'hui intervient après que la société a publié des mises à jour de sécurité pour corriger la faille (suivie sous le nom de CVE-2021-43890) lors du Patch Tuesday en décembre 2021 et a fourni des solutions pour désactiver le schéma MSIX sans correctif.

La raison probable de la désactivation complète du protocole est de protéger tous les clients Windows, y compris ceux qui n'ont pas encore installé les mises à jour de sécurité de décembre ou appliqué les solutions de contournement.

«Nous travaillons activement pour remédier à cette vulnérabilité. Pour l'instant, nous avons désactivé le schéma (protocole) de ms-appinstaller. Cela signifie que App Installer ne pourra pas installer une application directement à partir d'un serveur Web. Les utilisateurs devront plutôt télécharger, installer d'abord l'application sur leur appareil, puis installer le package avec App Installer, a déclaré Dian Hartono, responsable de programme chez Microsoft.

« Nous reconnaissons que cette fonctionnalité est essentielle pour de nombreuses organisations commerciales. Nous prenons le temps de mener des tests approfondis pour nous assurer que la réactivation du protocole peut se faire en toute sécurité.

'Nous envisageons d'introduire des stratégies de groupe qui permettent aux administrateurs informatiques de réactiver le protocole et de contrôler son utilisation au sein de leurs organisations.'

Comment les acteurs de la menace ont abusé de ms-appinstaller pour diffuser des logiciels malveillants

Comme l'a rapporté BleepingComputer, Emotet a commencé à se propager et à infecter les systèmes Windows 10 et Windows 11 début décembre en utilisant des packages d'installation Windows AppX malveillants déguisés en logiciel Adobe PDF.

Les e-mails de phishing Emotet utilisaient des e-mails de chaîne de réponse volés et demandaient aux victimes potentielles d'ouvrir des fichiers PDF liés à la conversation précédente.

Cependant, une fois cliqués, les liens intégrés dans les e-mails redirigeront les destinataires vers des pages qui, au lieu d'ouvrir le PDF, lanceront le programme d'installation de l'application Windows et demanderont d'installer un 'Adobe PDF Component'.

Bien que cela ressemble à une application Adobe légitime, le programme d'installation de l'application télécharge et installe un ensemble d'applications malveillantes hébergé sur Microsoft Azure lorsque l'utilisateur clique sur le bouton Installer.

Le programme d'installation de l'application vous invite à installer un faux composant Adobe PDF

Le programme d'installation de l'application vous invite à installer un faux composant Adobe PDF (BleepingComputer)

Plus d'informations, y compris comment Emotet a abusé de la fonctionnalité d'installation d'application Windows intégrée pendant la campagne, peuvent être trouvées dans notre rapport précédent.

Cette vulnérabilité d'usurpation d'AppX Installer a également été exploitée pour distribuer le malware BazarLoader via des packages malveillants hébergés sur Microsoft Azure, en utilisant l'URL *.web.core.windows.net.

Qu'est-ce que tu penses?