Microsoft, MSIX MS-AppInstaller Protokolü İşleyicisi, kötü amaçlı yazılım saldırılarında kullanıcının kötü amaçlı uygulamaları doğrudan bir web sitesinden Windows Appx Installer Spoofing Güvenlik Açığı ile yüklemek için kullandığını devre dışı bıraktı.
Bugünün kararı, 2021 Aralık Patch Salı günü kusurları (CVE-2021-43890 olarak izlenir) hitap eden güvenlik güncellemelerini serbest bıraktı ve MSIX şemasını devre dışı bırakmak için Yamaları dağıtmadan geçici çözümler sağladı.
Protokolü tamamen devre dışı bırakmanın muhtemel nedeni, Aralık güvenlik güncellemelerini henüz yüklememiş olanlar da dahil olmak üzere tüm Windows müşterilerini korumaktır.
"Bu güvenlik açığını ele almak için aktif olarak çalışıyoruz. Şimdilik, MS-AppInstaller Scheme'i (Protokol) devre dışı bıraktık. Bu, uygulama yükleyicisinin doğrudan bir Web sunucusundan bir uygulama yükleyemeyeceği anlamına gelir. Bunun yerine, kullanıcılara ihtiyaç duyacaklar Microsoft Program Manager Dian Hartono, uygulamayı önce cihazlarına indirin ve paketi uygulamayı yükleyiciyle yükleyin "dedi.
"Bu özelliğin birçok kurumsal kuruluş için kritik olduğunu biliyoruz. Protokolün güvenli bir şekilde yapılabildiğinden emin olmak için kapsamlı bir test yapmak için zaman ayırıyoruz.
"BT yöneticilerinin protokolü yeniden yapmalarını ve organizasyonlarında kullanımı kontrol etmelerini sağlayacak bir grup politikasını tanıtıyoruz."
BleepingComputer'ın bildirdiği gibi, Emotet, ADOBE PDF yazılımı olarak kamufle edilen kötü amaçlı Windows Appx Installer paketleri kullanarak Aralık ayının başlarında Windows 10 ve Windows 11 sistemlerini yaymaya ve bulaşmaya başladı.
Emotet'in kimlik avı e-postaları çalınan cevap zinciri e-postaları kullandı ve potansiyel mağdurları önceki sohbete ilişkin PDF'leri açmalarını belirtti.
Ancak, tıklandığında, e-postalara gömülü bağlantılar, alıcıları PDF'yi açmak yerine, Windows App Installer programını başlatacak ve "Adobe PDF bileşeni" yüklemesini istediği sayfalara yönlendirecektir.
Meşru bir Adobe uygulamasına benzesiyle, App Installer, kullanıcı yükleme düğmesini tıkladığında Microsoft Azure'da barındırılan kötü amaçlı bir AppxBundle indirip yükleyecektir.
Önceki raporumuzda, Emotet'in Dahili Windows App Installer özelliğini istismar etme şekli de dahil olmak üzere daha fazla bilgi bulabilirsiniz.
Bu Appx Installer Spoofing Güvenlik Açığı, Bazarloader Malware'i * .web.core.windows.net URL'lerini kullanarak Microsoft Azure'da barındırılan kötü amaçlı paketler aracılığıyla dağıtmak için de kullanılmıştır.
Microsoft, EMOTET tarafından kullanılan Windows Appx Installer sıfır gününü düzeltiyor
Microsoft, Windows 10 kullanıcıları için Outlook arama sorunlarını giderir
Microsoft, Windows Server, VPN hataları için acil düzeltmeleri yayınlar
Windows 'Remotepotato0' sıfır günü resmi olmayan bir yama alır
Microsoft: Yeni Kritik Windows HTTP Güvenlik Açığı Kuruculu
Kaynak: Bleeping Computer