ClickCease L'installateur d'applications MSIX est désactivé à la suite d'attaques de logiciels malveillants par Microsoft

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

L'installateur d'applications MSIX est désactivé à la suite d'attaques de logiciels malveillants par Microsoft

Wajahat Raja

Le 11 janvier 2024 - L'équipe d'experts de TuxCare

Dans une annonce récente, Microsoft a fait part de sa décision de désactiver à nouveau le gestionnaire de protocole ms-appinstaller par défaut, en raison de l'augmentation du nombre d'attaques de logiciels malveillants. attaques de logiciels malveillants Microsoft. La société a pris une position proactive contre son exploitation par divers acteurs de la menace pour la distribution de logiciels malveillants.

Cette décision fait suite à l'utilisation abusive de la vulnérabilité de l'installateur Windows AppX, identifiée sous le nom de CVE-2021-43890qui a été documentée pour la première fois par Microsoft il y a quelques années. Cela a conduit à mettre l'accent sur l'amélioration des mesures de sécurité de mesures de sécurité MSIX.

Dans ce billet de blog, nous allons examiner les récents développements concernant Microsoft attaques de logiciels malveillantsNous nous concentrerons plus particulièrement sur la façon dont l'installateur d'applications MSIX a été désactivé afin de renforcer les mesures de sécurité et de protéger les utilisateurs.

 

Contexte des attaques de logiciels malveillants de Microsoft

 

La vulnérabilité, documentée par Microsoft il y a quelques années, avait déjà été exploitée par des attaquants qui fabriquaient des paquets contenant des ransomwares. À l'époque, les mesures de sécurité de Microsoft recommandaient aux utilisateurs de mettre à jour la dernière version de l'installateur ou de désactiver le protocole ms-appinstaller à l'aide de la stratégie de groupe. Cependant, une résurgence de l'exploitation de ces vulnérabilités du programme d'installation d'applications a été observée. vulnérabilités de l'installateur d'applications a incité Microsoft à publier de nouvelles recommandations.

Activité des acteurs de la menace

 

L'équipe Microsoft Threat Intelligence a observé des acteurs de la menace abusant de l'implémentation actuelle du gestionnaire de protocole ms-appinstaller comme vecteur d'accès pour les logiciels malveillants. Cela a notamment conduit à la distribution de ransomwares, soulignant le besoin critique d'une pratiques d'installation de logiciels sécurisés d'installation de logiciels pour atténuer ces risques et renforcer la sécurité globale du système.

Les cybercriminels proposent notamment un kit de logiciels malveillants en tant que service, en exploitant le format de fichier MSIX et le gestionnaire de protocole ms-appinstaller pour leurs activités illicites. Ces changements ont été mis en œuvre dans la version 1.21.3421.0 de l'App Installer. 1.21.3421.0 ou supérieure.

Attaques de logiciels malveillants Microsoft - Les méthodes

 

Plusieurs groupes de pirates motivés par des raisons financières ont été identifiés comme exploitant le service App Installer depuis la mi-novembre 2023. Les attaques impliquent des paquets d'applications MSIX malveillants signés distribués par l'intermédiaire de Microsoft Teams ou des publicités trompeuses sur des moteurs de recherche populaires. 

Ces attaques ont été attribuées à des groupes tels que Storm-0569, Storm-1113, Sangria Tempest et Storm-1674, chacun employant des tactiques uniques pour l'infiltration et les activités de ransomware qui s'ensuivent.


Storm-0569

 

  • Agit en tant que courtier d'accès initial.
  • Propage le BATLOADER par le biais de l'empoisonnement SEO.
  • Déploie Cobalt Strike et facilite le déploiement du ransomware Black Basta.

 

Tempête-1113

 

  • Fonctionne comme un courtier d'accès initial.
  • Utilise de faux installateurs MSIX se faisant passer pour Zoom pour distribuer EugenLoader.
  • Agit comme un conduit pour divers logiciels malveillants voleurs et chevaux de Troie d'accès à distance.

 

Sangria Tempest (Carbon Spider et FIN7)

 

  • Utilise le chargeur EugenLoader de Storm-1113 pour déposer Carbanak.
  • S'appuie sur les annonces Google pour distribuer des paquets d'applications MSIX malveillantes et POWERTRASH.

 

Tempête-1674

 

  • Agit en tant que courtier d'accès initial.
  • Envoi de pages d'atterrissage se faisant passer pour Microsoft OneDrive et SharePoint par le biais de messages Teams.
  • Utilise l'outil TeamsPhisher pour distribuer un programme d'installation MSIX malveillant contenant des charges utiles SectopRAT ou DarkGate.


Incidents antérieurs


Ce n'est pas la première fois que Microsoft désactive le gestionnaire de protocole MSIX ms-appinstaller. En février 2022, des mesures similaires ont été prises pour empêcher les acteurs de la menace de diffuser Emotet, TrickBot et Bazaloader à l'aide de ce vecteur. La mise en œuvre de stratégies de cybersécurité solides est essentielle pour une
prévention efficace des attaques de logiciels malveillants dans toute infrastructure numérique.


Raison de l'exploitation


Les acteurs de la menace sont attirés par le vecteur du gestionnaire de protocole ms-appinstaller en raison de sa capacité à contourner les mécanismes de sécurité conçus pour protéger les utilisateurs des logiciels malveillants. Il s'agit notamment de contourner le SmartScreen de Microsoft Defender et les avertissements intégrés au navigateur pour les téléchargements de fichiers exécutables. Par conséquent, l'application régulière des
mises à jour de sécurité Windows est impérative pour assurer la protection et la résilience continues de votre système d'exploitation contre les cybermenaces en constante évolution.


Conclusion


En conclusion, la décision de Microsoft de désactiver par défaut le gestionnaire de protocole ms-appinstaller souligne la gravité de la menace permanente posée par les acteurs malveillants. L'importance de la sécurité de
sécurité MSIX apparaît comme un aspect essentiel du maintien d'un écosystème logiciel résilient et sécurisé.

Il est vivement conseillé aux utilisateurs de mettre à jour la dernière version de l'App Installer afin de garantir la mise en œuvre de mesures de sécurité renforcées, contribuant ainsi à une solide l'atténuation des cybermenaces et de protéger leurs systèmes contre l'évolution des risques.

Alors que le paysage de la cybersécurité continue d'évoluer, il convient de rester vigilant et d'adopter les meilleures pratiques en matière de cybersécurité. meilleures pratiques en matière de cybersécurité restent essentielles pour se prémunir contre les nouvelles menaces. La prévention des logiciels malveillants est une priorité absolue dans nos mesures de cybersécurité, car nous nous efforçons de protéger nos systèmes contre les menaces potentielles.

Restez en sécurité !

Les sources de cet article comprennent des articles dans The Hacker News et Bleeping Computer.

Résumé
L'installateur d'applications MSIX est désactivé à la suite d'attaques de logiciels malveillants par Microsoft
Nom de l'article
L'installateur d'applications MSIX est désactivé à la suite d'attaques de logiciels malveillants par Microsoft
Description
Restez protégé contre les attaques de logiciels malveillants de Microsoft. Découvrez comment les vulnérabilités de MSIX App Installer sont traitées pour protéger votre système.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information