在多个出于经济动机的威胁团体滥用 MSIX ms-appinstaller 协议处理程序以恶意软件感染 Windows 用户后,微软再次禁用了 MSIX ms-appinstaller 协议处理程序。
攻击者利用 CVE-2021-43890 Windows AppX Installer 欺骗漏洞来规避安全措施,这些措施可以保护 Windows 用户免受恶意软件的侵害,例如 Defender SmartScreen 反网络钓鱼和反恶意软件组件以及警告用户不要执行可执行文件的内置浏览器警报文件下载。
微软表示,威胁行为者使用流行软件的恶意广告和 Microsoft Teams 网络钓鱼消息来推送签名的恶意 MSIX 应用程序包。
微软公司表示
“自 2023 年 11 月中旬以来,Microsoft 威胁情报观察到威胁行为者,包括 Storm-0569、Storm-1113、Sangria Tempest 和 Storm-1674 等出于经济动机的行为者,利用 ms-appinstaller URI 方案(应用程序安装程序)分发恶意软件 ”。
“观察到的威胁行为者活动滥用了 ms-appinstaller 协议处理程序的当前实现,作为可能导致勒索软件分发的恶意软件的访问向量。多个网络犯罪分子还以滥用 MSIX 文件格式和 ms- 应用程序安装程序协议处理程序。”
Sangria Tempest(又名 FIN7)以经济为动机的黑客组织在参与现已解散的 BlackMatter 和 DarkSide 勒索软件操作后,曾与 REvil 和 Maze 勒索软件有联系。
在 BleepingComputer 看到的一份微软私人威胁分析报告中,FIN7 还与利用 Clop 勒索软件针对 PaperCut 打印服务器的攻击有关。
Emotet 和 BazarLoader 恶意软件攻击
两年多前,Emotet 还在 2021 年 12 月使用伪装成 Adobe PDF 软件的恶意 Windows AppX Installer 软件包来感染 Windows 10 和 Windows 11 系统。
此外,AppX 安装程序欺骗漏洞还被利用,通过 Microsoft Azure 上托管的恶意程序包和 *.web.core.windows.net URL 来分发 BazarLoader 恶意软件。
微软此前于 2022 年 2 月禁用了 ms-appinstaller 协议处理程序,以阻止 Emotet 的攻击。
由于在这些攻击中受到损害的设备也可能成为勒索软件的目标,因此雷蒙德本月早些时候再次禁用了 ms-appinstaller 协议处理程序。
虽然微软表示该功能已于今天(2023 年 12 月 28 日)默认禁用,但其他人报告称该更改已于本月初推出。 然而,目前尚不清楚微软何时以及为何在 2022 年 2 月至 2023 年 12 月期间重新启用 Windows 应用安装程序。
今天,微软建议安装已修补的 App Installer 版本 1.21.3421.0 或更高版本,以阻止利用尝试。
微软公司还建议无法立即部署最新应用程序安装程序版本的管理员通过将组策略 EnableMSAppInstallerProtocol 设置为禁用来禁用该协议。
文章名称:《微软再次禁用恶意软件攻击中滥用的 MSIX 协议处理程序》
文章固定链接:https://www.dayanzai.me/microsoft-disables-msix-protocol.html
本站资源仅供个人学习交流,请于下载后 24 小时内删除,不允许用于商业用途,否则法律问题自行承担。
猜你喜欢
- 2024-05-26开源 8 位 NES 音乐编辑器 FamiStudio 4.2.1 中文多语便携版
- 2022-11-10什么是法定货币,它们是如何运作的?
- 2017-01-09Windows 键盘可视化工具 KeyCastOW 2.0.2.5 中文绿色汉化版
- 2021-06-18DOS – 什么是磁盘操作系统?
- 2014-09-04faceblue Theme for Windows 7 蓝色简洁的Win7主题
相关推荐
- 2017-10-03硬盘低格工具 HDD Low Level Format Tool 4.40 中文汉化版
- 2022-01-13快速科普 DivX 和 Xvid 之间的区别以及它的由来
- 2023-05-15购买笔记本电脑前必须知道的 11 件事情,新人必读!
- 2023-04-25什么是 AMD 3D V-Cache 以及它是如何工作的?
- 2023-02-15开源密码随机生成工具 Passliss 2.9.0.2302 中文多语免费版