Microsoft şimdi, kurumsal yöneticilerin, MSIX MS-AppInstaller Protokol işleyicisini devre dışı bırakmalarını sağlar.
App Installer (Appx Installer olarak da bilinir), kullanıcıların önce bir MSIX paketi veya uygulama yükleyici dosyası kullanarak bir Web sunucusundan Windows uygulamalarını doğrudan bilgisayarlarına indirmeden önce bir Web sunucusundan yüklemelerine olanak sağlar.
Microsoft, MS-AppInstaller şemasını devre dışı bıraktı, sıfır gün bir Windows Appx Installer Spoofing Güvenlik Açığı'nı sömüren, kullanıcıları App Installer'ı kullanarak yüklemeden önce, kullanıcıları uygulama paketlerini cihazlarına indirmelerini zorlamak için zorluyor.
Microsoft Program Yöneticisi Dian Hartono, "Bu özelliğin birçok işletme örgütü için kritik olduğunu biliyoruz. Protokolün kapalı bir şekilde yapılabildiğinden emin olmak için kapsamlı bir test yapmak için zaman ayırıyoruz" dedi. .
"BT yöneticilerinin protokolü yeniden yapmalarını ve organizasyonlarında kullanımı kontrol etmelerini sağlayacak bir grup politikasını tanıtıyoruz."
Hartono'nun bir güncellemesine göre, Microsoft nihayetinde konuda bir tutamaç almayı başardı ve şimdi, şu anda en son uygulama yükleyici sürümünü (1.17.10751.0) ve bir Grup İlkesi'ni etkinleştirerek Protokol işleyicisini tekrar açmasına izin verdi.
Uygulama yükleyici güncellemesinin İnternet tabanlı yükleyici kullanılarak dağıtılamadığı sistemlerde, Microsoft ayrıca Microsoft Yükleme Merkezi'nde çevrimdışı bir sürüm sağlar (indirme bağlantısı).
Masaüstü uygulaması yükleyici ilkesini indirdikten ve dağıtdıktan sonra App Installer özelliği yeniden etkinleştirilecektir.
Bunu Bilgisayar Yapılandırması> Yönetim Şablonları> Windows Bileşenleri> Desktop App Installer'a giderek Grup İlkesi Düzenleyicisi aracılığıyla yapabilirsiniz.
Hartono, "MSX AppInstaller Protokolünü kullanmak için MSIX için MS-AppInstaller Protokolünü kullanabilmek için en son Uygulama Yükleyici uygulamasına ve masaüstü uygulaması yükleyici ilkesine ihtiyacınız olacak."
Emotet, 2 Aralık 2021'den itibaren phishing kampanyalarında Windows cihazlarını bulaştırmak için Adobe PDF yazılımı olarak kamufle edilen kötü amaçlı Windows Appx Installer paketlerini kullanmaya başladı.
Botnet'in kimlik avı e-postaları, alıcılara önceki konuşmalarla ilgili PDF'leri açmalarını sağlayan çalınan cevap zinciri e-postaları kullandı.
Bununla birlikte, PDF'yi açmak yerine, gömülü bağlantılar, alıcıları Windows App Installer'ı başlatacak ve kötü amaçlı bir "Adobe PDF bileşeni" yüklemelerini isteyecek şekilde yönlendiriyordu.
Sadece meşru bir Adobe uygulaması gibi görünse de, App Installer, Hedefler Yükle düğmesini tıklattıktan sonra Microsoft Azure'da barındırılan kötü amaçlı bir AppxBundle'ı indirdi ve kurdu.
MOMOTET'in Windows App Installer Güvenlik Açığı, Aralık kampanyası ile ilgili önceki raporumuzda istismar etme şekli de dahil olmak üzere daha fazla ayrıntı bulabilirsiniz.
Aynı sahte kusur, Bazarloader kötü amaçlı yazılımını Microsoft Azure üzerinden barındırılan kötü amaçlı paketler kullanarak dağıtmak için de istifade edildi * .Web.Core.windows.net URL'leri.
Microsoft, "Microsoft Windows'u etkileyen Appx Installer'da bir sahtekarlık kırılganlığı raporlarını araştırdık" diye açıkladı.
"Microsoft, bu güvenlik açığını, Emotet / Trickbot / Bazaloader olarak bilinen kötü amaçlı yazılım ailesini içeren özel hazırlanmış paketleri kullanarak istifa etmeye çalışan saldırıların farkındadır."
Microsoft: Windows 7 Kurtarma uygulaması Ocak güncellemelerinden sonra başarısız oluyor
Microsoft, Windows Mavi ekranlarına neden olan Bluetooth sorununu giderir
Windows 10 KB5011543 Güncelleştirmesi, arama vurgulamaları ile yayınlandı
Bitrat kötü amaçlı yazılım şimdi Windows 10 lisans aktivatörü olarak yayılıyor
Microsoft, ev kullanıcıları için yeni bulut tabanlı Microsoft Defender'ı test ediyor
Kaynak: Bleeping Computer