Microsoft отключает обработчик протокола MSIX, так как им злоупотребляют хакеры - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
 Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
 Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
 Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
 Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
 Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
 Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
 Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
 Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
 «Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Отступы и поля » Microsoft отключает обработчик протокола MSIX, так как им злоупотребляют хакеры - «Новости»

✔Microsoft отключает обработчик протокола MSIX, так как им злоупотребляют хакеры - «Новости»

01 января 2024 229 Отступы и поля / Новости / Самоучитель CSS / Преимущества стилей / Ссылки / Вёрстка / Интернет и связь 0

Разработчики Microsoft снова отключают обработчик протокола MSIX ms-appinstaller, так как сразу несколько хакерских группировок используют его для заражения пользователей Windows малварью.


Сообщается, что злоумышленники эксплуатируют уязвимость CVE-2021-43890 в Windows AppX Installer, связанную с обходом защитных решений. Этот баг позволяет обойти компоненты защиты от фишинга и вредоносного ПО в Defender SmartScreen, а также предупреждения браузеров, предостерегающие пользователей от загрузки исполняемых файлов.


По информации Microsoft, теперь для распространения вредоносных пакетов MSIX-приложений хакеры используют как вредоносную рекламу популярного софта, так и фишинговые сообщения в Microsoft Teams.


«С середины ноября 2023 года специалисты Microsoft Threat Intelligence наблюдают, как злоумышленники, включая финансово мотивированных субъектов Storm-0569, Storm-1113, Sangria Tempest и Storm-1674, используют схему URI ms-appinstaller (App Installer) для распространения вредоносного ПО, — предупреждают в компании. — Эта активность связана со злоупотреблением текущей имплементацией обработчика протокола ms-appinstaller в качестве вектора доступа для вредоносного ПО, что может привести к распространению вымогательских угроз. Также многие киберпреступники предлагают в качестве услуги набор вредоносных программ, который злоупотребляет форматом файлов MSIX и обработчиком протокола ms-app installer».



Атака с использованием App Installer

Стоит отметить, что в феврале 2023 года Microsoft уже отключала обработчик, чтобы противостоять атакам ботнета Emotet.


Напомним, что MSIX — это формат упаковки файлов, разработанный специально для Windows 10. Он был основан на концепции файлов манифеста XML, в которых разработчики могут описать, как происходит процесс установки, какие файлы необходимы и где их можно получить. Хотя изначально MSIX был доступен для новейших версий Windows, в итоге его портировали даже в Windows 7 (посредством MSIX Core), и файлы, упакованные с помощью MSIX, можно использовать во всех версиях Windows.


Корень проблемы заключается в том, что файлы, упакованные с помощью MSIX, могут быть доставлены в систему через интернет, посредством ms-appinstaller, который позволяет разработчикам создавать ссылки формата ms-appinstaller:?source=//website.com/file.appx. И именно эту особенность эксплуатировали операторы ботнета Emotet, злоупотребляя ссылками ms-appinstaller для атак на корпоративных пользователей.


Хотя теперь в Microsoft утверждают, что повторное отключение произошло 28 декабря 2023 года, согласно сообщениям пользователей, обработчик был отключен ранее в этом месяце. При этом неясно, когда и почему Microsoft снова включила Windows App Installer после февральской деактивации.


В настоящее время Microsoft рекомендует установить исправленный App Installer версии 1.21.3421.0 или более поздней, чтобы блокировать возможные злоупотребления. А также советует администраторам, которые не могут сразу установить последнюю версию App Installer, отключить протокол через Group Policy, установив для EnableMSAppInstallerProtocol значение Disabled.


Разработчики Microsoft снова отключают обработчик протокола MSIX ms-appinstaller, так как сразу несколько хакерских группировок используют его для заражения пользователей Windows малварью. Сообщается, что злоумышленники эксплуатируют уязвимость CVE-2021-43890 в Windows AppX Installer, связанную с обходом защитных решений. Этот баг позволяет обойти компоненты защиты от фишинга и вредоносного ПО в Defender SmartScreen, а также предупреждения браузеров, предостерегающие пользователей от загрузки исполняемых файлов. По информации Microsoft, теперь для распространения вредоносных пакетов MSIX-приложений хакеры используют как вредоносную рекламу популярного софта, так и фишинговые сообщения в Microsoft Teams. «С середины ноября 2023 года специалисты Microsoft Threat Intelligence наблюдают, как злоумышленники, включая финансово мотивированных субъектов Storm-0569, Storm-1113, Sangria Tempest и Storm-1674, используют схему URI ms-appinstaller (App Installer) для распространения вредоносного ПО, — предупреждают в компании. — Эта активность связана со злоупотреблением текущей имплементацией обработчика протокола ms-appinstaller в качестве вектора доступа для вредоносного ПО, что может привести к распространению вымогательских угроз. Также многие киберпреступники предлагают в качестве услуги набор вредоносных программ, который злоупотребляет форматом файлов MSIX и обработчиком протокола ms-app installer». Атака с использованием App Installer Стоит отметить, что в феврале 2023 года Microsoft уже отключала обработчик, чтобы противостоять атакам ботнета Emotet. Напомним, что MSIX — это формат упаковки файлов, разработанный специально для Windows 10. Он был основан на концепции файлов манифеста XML, в которых разработчики могут описать, как происходит процесс установки, какие файлы необходимы и где их можно получить. Хотя изначально MSIX был доступен для новейших версий Windows, в итоге его портировали даже в Windows 7 (посредством MSIX Core), и файлы, упакованные с помощью MSIX, можно использовать во всех версиях Windows. Корень проблемы заключается в том, что файлы, упакованные с помощью MSIX, могут быть доставлены в систему через интернет, посредством ms-appinstaller, который позволяет разработчикам создавать ссылки формата ms-appinstaller:?source=//website.com/file.appx. И именно эту особенность эксплуатировали операторы ботнета Emotet, злоупотребляя ссылками ms-appinstaller для атак на корпоративных пользователей. Хотя теперь в Microsoft утверждают, что повторное отключение произошло 28 декабря 2023 года, согласно сообщениям пользователей, обработчик был отключен ранее в этом месяце. При этом неясно, когда и почему Microsoft снова включила Windows App Installer после февральской деактивации. В настоящее время Microsoft рекомендует установить исправленный App Installer версии 1.21.3421.0 или более поздней, чтобы блокировать возможные злоупотребления. А также советует администраторам, которые не могут сразу установить последнюю версию App Installer, отключить протокол через Group Policy, установив для EnableMSAppInstallerProtocol значение Disabled.
CSS
запостил(а)
Alsopp
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: