NESABAMEDIA.COM – Microsoft ha desactivado el controlador de protocolo MSIX ms-appinstaller, que fue explotado en un ataque de malware, para instalar aplicaciones maliciosas directamente desde un sitio web, a través de la vulnerabilidad de suplantación de Windows AppX Installer.
La decisión se produce después de que Microsoft lanzara una actualización de seguridad para abordar una vulnerabilidad rastreada como CVE-2021-43890 durante su lanzamiento del martes de parches de diciembre de 2021, y proporciona una solución para eliminar el esquema MSIX sin proporcionar un parche.
Presumiblemente, la razón para cerrar el protocolo por completo es proteger a todos los usuarios de Windows, incluidos aquellos que no instalaron la actualización de seguridad de diciembre ni implementaron la solución proporcionada.
“Estamos trabajando activamente para abordar este problema de vulnerabilidad. Por ahora, hemos desactivado el esquema ms-appinstaller. Esto significa que el instalador de aplicaciones no podrá instalar una aplicación directamente desde un servidor web. Por lo tanto, los usuarios primero deben descargar la aplicación en su dispositivo y luego instalar el paquete con el instalador de aplicaciones”, dijo el director de programas de Microsoft, Dian Hartono.
“Entendemos que esta característica es muy importante para muchas empresas u organizaciones. Nos estamos tomando el tiempo disponible para realizar pruebas exhaustivas para garantizar que la reactivación del protocolo se pueda realizar de manera segura.
Estamos considerando introducir una Política de grupo que permitirá a los administradores de TI volver a habilitar el protocolo y controlar su uso dentro de su organización”, añadió.
Como se informó anteriormente, Emotet comenzó a propagarse e infectar los sistemas Windows 10 y 11 a principios de diciembre utilizando un paquete de instalación de Windows AppX modificado y luego haciéndose pasar por el software Adobe PDF.
El correo electrónico de phishing de Emotet utiliza una cadena de correo electrónico de respuesta robada e indica a las víctimas potenciales que abran un PDF que contiene el malware, que está vinculado a una conversación anterior. Sin embargo, al hacer clic en él, el enlace incluido en el correo electrónico redirige a las víctimas potenciales a una página maliciosa, que inicia el programa Windows App Installer y luego solicita instalar el componente Adobe PDF.
Aunque parece una aplicación oficial de Adobe, el instalador de aplicaciones descargará e instalará un paquete de aplicaciones malicioso alojado en Microsoft Azure cuando el usuario haga clic en el botón de instalación.
Esta vulnerabilidad del instalador de AppX también se aprovechó para propagar el malware BazarLoader a través de paquetes maliciosos almacenados en MicrosoftAzure utilice el dominio .web.core.windows.net.
