MSIX-App-Installer inmitten von Microsoft-Malware-Angriffen deaktiviert
In einer kürzlich veröffentlichten Ankündigung gab Microsoft seine Entscheidung bekannt, den ms-appinstaller-Protokoll-Handler angesichts der Malware-Angriffe auf Microsoft erneut standardmäßig zu deaktivieren. Microsoft-Malware-Angriffe. Das Unternehmen ging damit proaktiv gegen die Ausnutzung dieses Protokolls durch verschiedene Bedrohungsakteure für die Verbreitung von Malware vor.
Dieser Schritt ist eine Reaktion auf den anhaltenden Missbrauch der Windows AppX Installer Spoofing-Schwachstelle, die als CVE-2021-43890die von Microsoft vor einigen Jahren erstmals dokumentiert wurde. Dies hat zu einer verstärkten Betonung der Verbesserung der MSIX-Sicherheitsmaßnahmen.
In diesem Blogbeitrag werfen wir einen Blick auf die jüngsten Entwicklungen rund um Microsoft Malware-AngriffeDer Schwerpunkt liegt dabei auf der Deaktivierung des MSIX App Installer, um die Sicherheitsmaßnahmen zu verbessern und die Benutzer zu schützen.
Hintergrund zu den Microsoft-Malware-Angriffen
Die von Microsoft vor einigen Jahren dokumentierte Sicherheitslücke war zuvor von Angreifern ausgenutzt worden, um Pakete mit Ransomware zu schnüren. Damals, Sicherheitsmaßnahmen von Microsoft entweder ein Update auf die neueste Installer-Version oder die Deaktivierung des ms-appinstaller-Protokolls über die Gruppenrichtlinien empfohlen. Allerdings ist ein Wiederaufleben der Ausnutzung dieser App-Installer-Schwachstellen hat Microsoft dazu veranlasst, neue Richtlinien herauszugeben.
Aktivitäten der Bedrohungsakteure
Das Microsoft Threat Intelligence-Team hat beobachtet, dass Bedrohungsakteure die aktuelle Implementierung des ms-appinstaller-Protokoll-Handlers als Zugangsvektor für Malware missbrauchen. Dies hat insbesondere zur Verbreitung von Ransomware geführt und unterstreicht die kritische Notwendigkeit einer sichere Software-Installation Software-Installationspraktiken, um solche Risiken zu mindern und die allgemeine Systemsicherheit zu stärken.
Cyberkriminelle bieten ein Malware-Kit als Service an und nutzen das MSIX-Dateiformat und den ms-appinstaller-Protokoll-Handler für ihre illegalen Aktivitäten. Diese Änderungen wurden in der App Installer-Version 1.21.3421.0 oder höher implementiert.
Microsoft Malware-Angriffe - Die Methoden
Seit Mitte November 2023 wurden mehrere finanziell motivierte Hackergruppen identifiziert, die den App Installer-Dienst ausnutzen. Bei den Angriffen handelt es sich um signierte bösartige MSIX-Anwendungspakete, die über Microsoft Teams oder betrügerische Werbung in beliebten Suchmaschinen verbreitet werden.
Diese Angriffe werden Gruppen wie Storm-0569, Storm-1113, Sangria Tempest und Storm-1674 zugeschrieben, die jeweils einzigartige Taktiken für die Infiltration und anschließende Ransomware-Aktivitäten anwenden.
Sturm-0569
- Er fungiert als Vermittler für den Erstzugang.
- Verbreitet BATLOADER durch SEO-Vergiftung.
- Setzt Cobalt Strike ein und erleichtert den Einsatz der Ransomware Black Basta.
Sturm-1113
- Fungiert als Makler für den Erstzugang.
- Verwendet gefälschte MSIX-Installationsprogramme, die sich als Zoom ausgeben, um EugenLoader zu verbreiten.
- Dient als Einfallstor für verschiedene Stealer-Malware und Remote-Access-Trojaner.
Sangria Tempest (Carbon Spider und FIN7)
- Benutzt EugenLoader von Storm-1113, um Carbanak abzuwerfen.
- Verwendet Google-Anzeigen, um bösartige MSIX-Anwendungspakete und POWERTRASH zu verbreiten.
Sturm-1674
- Funktioniert als Erstzugangsvermittler.
- Versendet Landing Pages, die als Microsoft OneDrive und SharePoint getarnt sind, über Teams-Nachrichten.
- Verwendet das Tool TeamsPhisher, um ein bösartiges MSIX-Installationsprogramm mit SectopRAT- oder DarkGate-Nutzdaten zu verbreiten.
Frühere Vorfälle
Dies ist nicht das erste Mal, dass Microsoft den MSIX ms-appinstaller protocol handler deaktiviert hat. Im Februar 2022 wurden ähnliche Schritte unternommen, um Bedrohungsakteure daran zu hindern, Emotet, TrickBot und Bazaloader über diesen Vektor zu verbreiten. Die Umsetzung robuster Cybersicherheitsstrategien ist entscheidend für eine wirksame Verhinderung von Malware-Angriffen in jeder digitalen Infrastruktur.
Grund für die Ausbeutung
Bedrohungsakteure fühlen sich von dem ms-appinstaller-Protokoll-Handler-Vektor angezogen, da er in der Lage ist, Sicherheitsmechanismen zu umgehen, die die Benutzer vor Malware schützen sollen. Dazu gehört die Umgehung des Microsoft Defender SmartScreen und der integrierten Browser-Warnungen für den Download ausführbarer Dateien. Daher ist die regelmäßige Anwendung von Windows-Sicherheitsupdates unbedingt erforderlich, um den kontinuierlichen Schutz und die Widerstandsfähigkeit Ihres Betriebssystems gegen sich entwickelnde Cyber-Bedrohungen zu gewährleisten.
Schlussfolgerung
Die Entscheidung von Microsoft, den ms-appinstaller protocol handler standardmäßig zu deaktivieren, unterstreicht die Ernsthaftigkeit der anhaltenden Bedrohung durch bösartige Akteure. Die Bedeutung der MSIX-Sicherheit wird zu einem zentralen Aspekt bei der Aufrechterhaltung eines widerstandsfähigen und sicheren Software-Ökosystems.
Den Nutzern wird dringend empfohlen, auf die neueste Version des App-Installers zu aktualisieren, um die Umsetzung verbesserter Sicherheitsmaßnahmen zu gewährleisten, die zu einer robusten Abwehr von Cyber-Bedrohungen Cyber-Bedrohungen beizutragen und ihre Systeme vor sich entwickelnden Risiken zu schützen.
Da sich die Cybersicherheitslandschaft ständig weiterentwickelt, sind Wachsamkeit und die Anwendung bewährte Praktiken im Bereich der Cybersicherheit bleibt entscheidend für den Schutz vor neuen Bedrohungen. Der Schutz vor bösartiger Software hat bei unseren Cybersicherheitsmaßnahmen oberste Priorität, da wir uns bemühen, unsere Systeme vor potenziellen Bedrohungen zu schützen.
Bleiben Sie sicher!
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Bleeping Computer.