Microsoft отключает обработчик протокола MSIX, используемый в атаках Emotet

Microsoft: Июньские обновления Windows могут нарушить работу точек доступа Wi-Fi

Корпорация Майкрософт отключила обработчик протокола MSIX ms-appinstaller, который использовался в атаках вредоносных программ для установки вредоносных приложений непосредственно с веб-сайта через уязвимость спуфинга Windows AppX Installer.

Сегодняшнее решение было принято после того, как компания выпустила обновления безопасности для устранения уязвимости во время вторника исправлений в декабре 2021 года и предоставила обходные пути для отключения схемы MSIX без развертывания исправлений.

Вероятной причиной полного отключения протокола является защита всех пользователей Windows, в том числе тех, кто еще не установил декабрьские обновления безопасности или не применил обходные пути .

«Мы активно работаем над устранением этой уязвимости. На данный момент мы отключили схему (протокол) ms-appinstaller. Это означает, что установщик приложений не сможет установить приложение напрямую с веб-сервера. Вместо этого пользователям потребуется сначала загрузите приложение на свое устройство, а затем установите пакет с помощью установщика приложений», — сказал руководитель программы Microsoft Дайан Хартоно.

«Мы понимаем, что эта функция имеет решающее значение для многих корпоративных организаций. Мы уделяем время тщательному тестированию, чтобы убедиться, что повторное включение протокола может быть выполнено безопасным образом.

«Мы рассматриваем возможность внедрения групповой политики, которая позволит ИТ-администраторам повторно активировать протокол и контролировать его использование в своих организациях».

Как злоумышленники злоупотребляли ms-appinstaller для распространения вредоносного ПО

Как сообщает BleepingComputer, Emotet начал распространять и заражать системы Windows 10 и Windows 11 в начале декабря, используя вредоносные пакеты Windows AppX Installer, замаскированные под программное обеспечение Adobe PDF.

Фишинговые электронные письма Emotet использовали украденные электронные письма цепочки ответов и инструктировали потенциальных жертв открывать PDF-файлы, связанные с предыдущим разговором.

Однако при нажатии ссылки, встроенные в электронные письма, будут перенаправлять получателей на страницы, которые вместо открытия PDF-файла запустят программу установки приложений Windows и попросят установить «компонент Adobe PDF».

Хотя это выглядит как законное приложение Adobe, установщик приложений загрузит и установит вредоносный appxbundle, размещенный в Microsoft Azure, когда пользователь нажмет кнопку «Установить».

Вы можете найти больше информации, в том числе о том, как Emotet злоупотреблял встроенной функцией Windows App Installer во время кампании, в нашем предыдущем отчете .

Эта уязвимость, связанная с спуфингом установщика AppX, также использовалась для распространения вредоносного ПО BazarLoader через вредоносные пакеты, размещенные в Microsoft Azure, с использованием URL-адресов *.web.core.windows.net.

Последнее обновление 05.02.2022