ClickCease Desactivado el instalador de aplicaciones MSIX ante los ataques de malware de Microsoft

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Desactivado el instalador de aplicaciones MSIX ante los ataques de malware de Microsoft

Wajahat Raja

11 de enero de 2024 - Equipo de expertos TuxCare

En un reciente anuncio, Microsoft reveló su decisión de volver a desactivar por defecto el gestor de protocolos ms-appinstaller en medio de los ataques de malware contra Microsoft. Adoptaron una postura proactiva contra su explotación por parte de varios actores de amenazas para la distribución de malware.

Esta medida responde a los continuos abusos de la vulnerabilidad de suplantación de Windows AppX Installer, identificada como CVE-2021-43890que Microsoft documentó por primera vez hace un par de años. Esto ha dado lugar a un mayor énfasis en la mejora de las medidas de seguridad de las medidas de seguridad de MSIX.

En esta entrada del blog, echaremos un vistazo a los últimos acontecimientos en torno a Microsoft ataques de malwarecentrándonos específicamente en cómo se ha desactivado el instalador de aplicaciones MSIX para mejorar las medidas de seguridad y mantener protegidos a los usuarios.

 

Antecedentes de los ataques de malware contra Microsoft

 

La vulnerabilidad, documentada por Microsoft hace un par de años, había sido explotada anteriormente por atacantes que creaban paquetes que contenían ransomware. En aquel entonces, las medidas de seguridad de Microsoft consistían en recomendar a los usuarios que actualizaran a la última versión del instalador o desactivaran el protocolo ms-appinstaller mediante directivas de grupo. Sin embargo, un resurgimiento en la explotación de estas vulnerabilidades del instalador de aplicaciones ha llevado a Microsoft a publicar nuevas directrices.

Actividad de los agentes de amenazas

 

El equipo de Inteligencia de Amenazas de Microsoft ha observado que los actores de amenazas abusan de la implementación actual del manejador de protocolo ms-appinstaller como vector de acceso para el malware. Esto ha llevado especialmente a la distribución de ransomware, lo que subraya la necesidad crítica de instalación segura de software de software seguras para mitigar estos riesgos y y reforzar la seguridad general del sistema..

En particular, los ciberdelincuentes están ofreciendo un kit de malware como servicio, aprovechando el formato de archivo MSIX y el manejador de protocolo ms-appinstaller para sus actividades ilícitas. Estos cambios se han implementado en la versión de App Installer 1.21.3421.0 o superior.

Ataques de malware contra Microsoft: los métodos

 

Desde mediados de noviembre de 2023 se han identificado varios grupos de piratas informáticos con motivaciones financieras que explotan el servicio App Installer. Los ataques implican paquetes de aplicaciones MSIX maliciosos firmados distribuidos a través de Microsoft Teams o anuncios engañosos en motores de búsqueda populares. 

Estos ataques se han atribuido a grupos como Storm-0569, Storm-1113, Sangria Tempest y Storm-1674, cada uno de los cuales emplea tácticas únicas para la infiltración y las subsiguientes actividades de ransomware.


Tormenta-0569

 

  • Actúa como intermediario de acceso inicial.
  • Propaga BATLOADER a través del envenenamiento SEO.
  • Despliega Cobalt Strike y facilita el despliegue del ransomware Black Basta.

 

Tormenta-1113

 

  • Funciona como intermediario de acceso inicial.
  • Utiliza falsos instaladores MSIX haciéndose pasar por Zoom para distribuir EugenLoader.
  • Actúa como conducto para diversos programas maliciosos de robo y troyanos de acceso remoto.

 

Tempestad de sangría (Carbon Spider y FIN7)

 

  • Utiliza EugenLoader de Storm-1113 para soltar Carbanak.
  • Se basa en los anuncios de Google para distribuir paquetes de aplicaciones MSIX maliciosas y POWERTRASH.

 

Tormenta-1674

 

  • Funciona como intermediario de acceso inicial.
  • Envía páginas de destino haciéndolas pasar por Microsoft OneDrive y SharePoint a través de mensajes de Teams.
  • Utiliza la herramienta TeamsPhisher para distribuir un instalador MSIX malicioso que contiene cargas útiles SectopRAT o DarkGate.


Incidentes anteriores


No es la primera vez que Microsoft desactiva el gestor de protocolo ms-appinstaller de MSIX. En febrero de 2022, se tomaron medidas similares para evitar que los actores de amenazas distribuyeran Emotet, TrickBot y Bazaloader utilizando este vector. La aplicación de estrategias de ciberseguridad sólidas es crucial para una prevención eficaz de los ataques de malware.
prevención de ataques de malware dentro de cualquier infraestructura digital.


Motivo de la explotación


Los actores de amenazas se sienten atraídos por el vector manejador de protocolo ms-appinstaller debido a su capacidad para eludir los mecanismos de seguridad diseñados para proteger a los usuarios del malware. Esto incluye eludir Microsoft Defender SmartScreen y las advertencias integradas en los navegadores sobre descargas de archivos ejecutables. Por lo tanto, aplicar regularmente
actualizaciones de seguridad de Windows es imprescindible para garantizar la protección y resistencia continuas de su sistema operativo frente a las ciberamenazas en evolución.


Conclusión


En conclusión, la decisión de Microsoft de desactivar por defecto el gestor de protocolos ms-appinstaller subraya la gravedad de la amenaza que siguen planteando los actores maliciosos. La importancia de la seguridad
seguridad MSIX emerge como un aspecto fundamental para mantener un ecosistema de software resistente y protegido.

Se recomienda encarecidamente a los usuarios que actualicen a la última versión del instalador de aplicaciones para garantizar la aplicación de medidas de seguridad mejoradas que contribuyan a una sólida mitigación de las ciberamenazas. mitigación de ciberamenazas y salvaguardar sus sistemas frente a los riesgos cambiantes.

A medida que el panorama de la ciberseguridad sigue evolucionando, hay que mantenerse alerta y adoptar buenas prácticas de ciberseguridad sigue siendo crucial para protegerse de las amenazas emergentes. La prevención del software malicioso es una de las principales prioridades de nuestras medidas de ciberseguridad, ya que nos esforzamos por proteger nuestros sistemas frente a posibles amenazas.

¡Mantente a salvo!

Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.

Resumen
Desactivado el instalador de aplicaciones MSIX ante los ataques de malware de Microsoft
Nombre del artículo
Desactivado el instalador de aplicaciones MSIX ante los ataques de malware de Microsoft
Descripción
Manténgase protegido contra los ataques de malware de Microsoft. Descubra cómo se abordan las vulnerabilidades del instalador de aplicaciones MSIX para proteger su sistema.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín