Microsoft a de nouveau désactivé le gestionnaire de protocole MSIX ms-appinstaller après que plusieurs groupes de menaces motivés financièrement en ont abusé pour infecter les utilisateurs de Windows avec des logiciels malveillants.
Les attaquants ont exploité la vulnérabilité d’usurpation d’identité du programme d’installation Windows AppX CVE-2021-43890 pour contourner les mesures de sécurité qui protégeraient autrement les utilisateurs Windows contre les logiciels malveillants, tels que le composant anti-hameçonnage et anti-malware Defender SmartScreen et les alertes de navigateur intégrées mettant en garde les utilisateurs contre les téléchargements de fichiers exécutables.
Microsoft affirme que les auteurs de la menace utilisent à la fois des publicités malveillantes pour des logiciels populaires et des messages de phishing Microsoft Teams pour pousser des packages d’applications MSIX malveillants signés.
« Depuis la mi-novembre 2023, Microsoft Threat Intelligence a observé des acteurs de la menace, y compris des acteurs motivés financièrement comme Storm-0569, Storm-1113, Sangria Tempest et Storm-1674, utilisant le schéma d’URI ms-appinstaller (Installateur d’applications) pour distribuer des logiciels malveillants », a déclaré la société.
« L’activité observée des acteurs de la menace abuse de l’implémentation actuelle du gestionnaire de protocole ms-appinstaller en tant que vecteur d’accès pour les logiciels malveillants pouvant conduire à la distribution de ransomwares. Plusieurs cybercriminels vendent également un kit de logiciels malveillants en tant que service qui abuse du format de fichier MSIX et du gestionnaire de protocole d’installation ms-app. »
Le groupe de piratage à motivation financière Sangria Tempest (alias FIN7) a déjà été lié au ransomware REvil et Maze après leur implication dans les opérations de ransomware BlackMatter et DarkSide, aujourd’hui disparues.
Dans un rapport privé d’analyse des menaces Microsoft consulté par Breachtrace, FIN7 était également connecté à des attaques ciblant les serveurs d’impression PaperCut avec le ransomware Clop.
Attaques de logiciels malveillants Emotet et BazarLoader
Comme l’a signalé Breachtrace il y a plus de deux ans, Emotet a également utilisé des packages d’installation malveillants Windows AppX camouflés en logiciel Adobe PDF en décembre 2021 pour infecter les systèmes Windows 10 et Windows 11.
De plus, la vulnérabilité d’usurpation d’installateur AppX a été exploitée pour distribuer le malware BazarLoader à l’aide de packages malveillants hébergés sur Microsoft Azure, en utilisant *.web.core.windows.net URL.
Microsoft avait précédemment désactivé le gestionnaire de protocole ms-appinstaller en février 2022 pour contrecarrer l’assaut d’Emotet.
Étant donné que les appareils compromis dans le cadre de ces attaques peuvent également être ciblés par des ransomwares, Redmond a de nouveau désactivé le gestionnaire de protocole ms-appinstaller plus tôt ce mois-ci.
Alors que Microsoft dit qu’il a été désactivé par défaut aujourd’hui, le 28 décembre 2023, d’autres rapportent que le changement a été poussé plus tôt ce mois-ci. Cependant, on ne sait pas quand et pourquoi Microsoft a réactivé le programme d’installation de l’application Windows entre février 2022 et décembre 2023.
Aujourd’hui, Microsoft a recommandé d’installer la version corrigée du programme d’installation de l’application 1.21.3421.0 ou ultérieure pour bloquer les tentatives d’exploitation.
La société a également conseillé aux administrateurs qui ne peuvent pas déployer immédiatement la dernière version du programme d’installation de l’application de désactiver le protocole en définissant la stratégie de groupe EnableMSAppInstallerProtocol sur Désactivé.