уязвимость MSIX Emotet BazarLoader Windows Microsoft
Сейчас компания работает над тем, чтобы включить протокол, но уже безопасным способом.
Компания Microsoft официально заявила об отключении протокола установщика приложений MSIX в целях предотвращения потенциальных хакерских атак. Этот протокол позволяет пользователям устанавливать различные приложения непосредственно с web-сервера без необходимости сначала загружать их в локальное хранилище. Идея заключается в том, чтобы сэкономить место на компьютере, поскольку пакет MSIX загружать не нужно.
Однако, как оказалось, хакеры злоупотребляют подобными пакетами для загрузки Windows-приложений с целью распространения вредоносных PDF-документов, в том числе тех, что используются вредоносным ПО Emotet и BazarLoader. В связи с этим протокол был отключен еще в прошлом году, но официальное объявление Microsoft опубликовала только сейчас. Эта уязвимость спуфинга в Windows AppX получила идентификатор CVE-2021-43890 .
«Мы недавно узнали, что протокол ms-appinstaller для MSIX может использоваться со злым умыслом. Точнее говоря, атакующий может осуществить спуфинг установщика приложений с целью установки пакета, который пользователь не намеревался устанавливать. […] Теперь мы отключили схему ms-appinstaller (протокол). Это значит, что установщик приложений больше не может устанавливать приложения непосредственно с web-сервера. Отныне пользователю нужно сначала загрузить приложение на устройство, а затем установить пакет с помощью установщика. Это может повысить размер некоторых загружаемых пакетов», - говорится в уведомлении Microsoft.
Компания также сообщила, что в настоящее время она работает над тем, чтобы снова включить протокол безопасным способом, например, путем добавления определенных групповых политик.
«Мы уделяем время тщательному тестированию, чтобы убедиться, что повторное включение протокола может быть выполнено безопасным образом. Мы рассматриваем возможность внедрения групповой политики, которая позволит IT-администраторам повторно включать протокол и контролировать его использование в своих организациях», - сообщила Microsoft.
SECURITYLAB.RU