Microsoft vừa phải vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller. Lý do là vì MSIX bị khai thác trong một cuộc tấn công bằng malware để cài đặt ứng dụng độc hại trực tiếp từ một trang web thông qua lỗ hổng giả mạo Windows AppX Installer.
Quyết định vô hiệu hóa MSIX được đưa ra sau khi Microsoft phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng (CVE-2021-43890) trong bản vá Patch Tuesday tháng 12/2021. Gã khổng lồ phần mềm cũng cung cấp các giải pháp để vô hiệu hóa MSIX mà không cần triển khai các bản vá.
Nhiều khả năng Microsoft vô hiệu hóa hoàn toàn giao thức MSIX là để bảo vệ tất cả khách hàng Windows, bao gồm cả những người chia cài bản cập nhật bảo mật tháng 12 hoặc chưa áp dụng các giải pháp khắc phục.
"Chúng tôi đang tích cực làm việc để giải quyết lỗ hổng bảo mật này. Hiện tại, chúng tôi đã vô hiệu hóa lược đồ ms-appinstaller (giao thức). Điều này có nghĩa là App Installer sẽ không thể cài đặt trực tiếp ứng dụng từ máy chủ web. Thay vào đó, người dùng sẽ phải tải ứng dụng về thiết bị đã sau đó mới có thể cài gói với App Installer", Quản lý Chương trình Dian Hartono của Microsoft chia sẻ.
"Chúng tôi nhận thấy rằng tính năng này rất quan trọng với nhiều tổ chức, doanh nghiệp. Chúng tôi đang dành thời gian để tiến hành kiểm tra kỹ lưỡng nhằm đảm bảo rằng việc kích hoạt lại giao thức có thể thực hiện một cách an toàn".
"Chúng tôi cũng đang xem xét tung ra một Group Policy cho phép quản trị viên IT kích hoạt lại giao thức và kiểm soát việc sử dụng nó trong tổ chức của họ".
Hacker lợi dụng ms-appinstaller để cài mã độc như thế nào?
Hồi tháng 12/2021, hacker đã bắt đầu phát tán mã độc Emotet lên các hệ thống Windows 10 và Windows 11 bằng cách sử dụng các gói Windows AppX Installer độc hại được ngụy trang dưới dạng phần mềm Adobe PDF.
Các email lừa đảo của Emotet sử dụng chuỗi mail trả lời bị đánh cắp để hướng dẫn nạn nhân mở các tệp PDF có liên quan tới cuộc trò chuyện trước đó. Tuy nhiên, khi nhấp vào, các liên kết được nhúng trong email sẽ chuyển hướng đến các trang mà thay vì mở PDF sẽ khởi chạy Windows App Installer và yêu cầu cài đặt một thành phần PDF, "Adobe PDF Component".
Mặc dù trông giống như ứng dụng Adobe thật nhưng khi người dùng nhấn nút Install, App Installer sẽ tải xuống và cài đặt một appxbundle độc hại được lưu trữ trên Microsoft Azure.
Lỗ hổng giả mạo App Installer này cũng được dùng để phân phối malware BazarLoarder thông qua các gói cài đặt độc hại được lưu trữ trên Microsoft Azure, sử dụng các URL dạng *.web.core.windows.net.