CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

apps-1783953_640-1-e1572184201251.jpg

Microsoft desativa Windows App Installer online após invasões

Da Redação
04/01/2024

A Microsoft desativou a funcionalidade do App Installer que permitia que aplicativos do Windows 10 fossem instalados diretamente de uma página da web clicando em um link que usava o esquema URI (do inglês Uniform Resource Identifier) ms-appinstaller. Esta funcionalidade tem sido comumente utilizada nos últimos meses por operadores de ameaças para implantar ransomware e outros malwares.

“Os operadores de ameaças provavelmente escolheram o vetor manipulador de protocolo ms-appinstaller porque ele pode ignorar mecanismos projetados para ajudar a manter os usuários protegidos contra malware, como o Microsoft Defender SmartScreen e avisos integrados do navegador para downloads de formatos de arquivo executáveis”, disse a Microsoft em um comunicado na semana passada.

O manipulador de protocolo foi desativado em 28 de dezembro com o lançamento do App Installer versão 1.21.3421.0 depois que de a empresa ter alertado sobre a vulnerabilidade de falsificação do Windows AppX Installer (CVE-2021-43890) no último Patch Tuesday. O App Installer é um recurso introduzido no Windows 10 em 2016 para facilitar a instalação de aplicativos da Plataforma Universal do Windows (UWP), anteriormente conhecidos como aplicativos da Windows Store. Esses aplicativos podem ser implantados em todos os dispositivos Windows e são distribuídos em um formato de pacote chamado MSIX como arquivos .msxi ou .msixbundle. MSIX foi introduzido em 2019 e substituiu o antigo formato de pacote AppX para aplicativos na Microsoft Store.

No entanto, os pacotes MSIX não precisam necessariamente ser implantados na Microsoft Store, eles também podem ser instalados offline e também podem ser implantados em qualquer site, graças ao esquema URI e ao manipulador de protocolo ms-appinstaller. A Microsoft incentiva as empresas a usar pacotes MSIX para implantar seus aplicativos porque eles oferecem melhor confiabilidade e taxa de sucesso de instalação, bem como largura de banda otimizada e uso de espaço em disco.

Veja isso
Patch Tuesday: Microsoft corrige 34 falhas e um dia zero
Microsoft barra operação que criou 750 milhões de contas falsas

Os hackers começaram a explorar do esquema de URI ms-appinstaller há algum tempo, levando os usuários a páginas da web falsificadas de software popular e, em vez disso, instalando malware empacotado como MSIX. Segundo a Microsoft, a técnica foi adotada por vários grupos, culminando com um aumento nos ataques durante novembro e dezembro de 2023.

Para ter acesso ao relatório completo da Microsoft, em inglês, sobre a exploração do App Installer clique aqui.

Compartilhar: