在多个出于经济动机的威胁团体滥用 MSIX ms-appinstaller 协议处理程序以恶意软件感染 Windows 用户后,微软再次禁用了 MSIX ms-appinstaller 协议处理程序。
攻击者利用 CVE-2021-43890 Windows AppX Installer 欺骗漏洞来规避安全措施,这些措施可以保护 Windows 用户免受恶意软件的侵害,例如 Defender SmartScreen 反网络钓鱼和反恶意软件组件以及警告用户不要执行可执行文件的内置浏览器警报文件下载。
微软表示,威胁行为者使用流行软件的恶意广告和 Microsoft Teams 网络钓鱼消息来推送签名的恶意 MSIX 应用程序包。
微软公司表示
“自 2023 年 11 月中旬以来,Microsoft 威胁情报观察到威胁行为者,包括 Storm-0569、Storm-1113、Sangria Tempest 和 Storm-1674 等出于经济动机的行为者,利用 ms-appinstaller URI 方案(应用程序安装程序)分发恶意软件 ”。
“观察到的威胁行为者活动滥用了 ms-appinstaller 协议处理程序的当前实现,作为可能导致勒索软件分发的恶意软件的访问向量。多个网络犯罪分子还以滥用 MSIX 文件格式和 ms- 应用程序安装程序协议处理程序。”
Sangria Tempest(又名 FIN7)以经济为动机的黑客组织在参与现已解散的 BlackMatter 和 DarkSide 勒索软件操作后,曾与 REvil 和 Maze 勒索软件有联系。
在 BleepingComputer 看到的一份微软私人威胁分析报告中,FIN7 还与利用 Clop 勒索软件针对 PaperCut 打印服务器的攻击有关。
Emotet 和 BazarLoader 恶意软件攻击
两年多前,Emotet 还在 2021 年 12 月使用伪装成 Adobe PDF 软件的恶意 Windows AppX Installer 软件包来感染 Windows 10 和 Windows 11 系统。
此外,AppX 安装程序欺骗漏洞还被利用,通过 Microsoft Azure 上托管的恶意程序包和 *.web.core.windows.net URL 来分发 BazarLoader 恶意软件。
微软此前于 2022 年 2 月禁用了 ms-appinstaller 协议处理程序,以阻止 Emotet 的攻击。
由于在这些攻击中受到损害的设备也可能成为勒索软件的目标,因此雷蒙德本月早些时候再次禁用了 ms-appinstaller 协议处理程序。
虽然微软表示该功能已于今天(2023 年 12 月 28 日)默认禁用,但其他人报告称该更改已于本月初推出。 然而,目前尚不清楚微软何时以及为何在 2022 年 2 月至 2023 年 12 月期间重新启用 Windows 应用安装程序。
今天,微软建议安装已修补的 App Installer 版本 1.21.3421.0 或更高版本,以阻止利用尝试。
微软公司还建议无法立即部署最新应用程序安装程序版本的管理员通过将组策略 EnableMSAppInstallerProtocol 设置为禁用来禁用该协议。
文章名称:《微软再次禁用恶意软件攻击中滥用的 MSIX 协议处理程序》
文章固定链接:https://www.dayanzai.me/microsoft-disables-msix-protocol.html
本站资源仅供个人学习交流,请于下载后 24 小时内删除,不允许用于商业用途,否则法律问题自行承担。
猜你喜欢
- 2020-08-20专业的 16 进制编辑工具 WinHex 20.0 中文多语免费版
- 2024-11-13轻量级屏幕录像工具 WinCam 3.9 + x64 中文多语免费版
- 2024-12-04使用 FFmpeg 将 MOV 格式的视频转换为 MP4 视频
- 2020-11-19Inno Setup 移除向导窗口右键关于安装程序菜单代码
- 2024-08-11安卓超强视频播放器 MX Player Pro 1.86.0 中文多语免费版
相关推荐
- 2022-11-15快速了解 RISC vs RISC-V 以及 ARM 有什么区别和不同?
- 2024-10-22系统优化组合软件 WinTools net Premium 24.11.1 中文多语免费版
- 2022-07-01如何查找您的 iPhone 是在哪个国家/地区制造的
- 2024-06-24免费 FTP 客户端 FTP Rush 3.5.8 绿色中文便携版
- 2020-12-03通过注册表方式来快速修复 Windows EXE 文件关联错误解决方案