マイクロソフト、Emotet攻撃に悪用されたMSIXプロトコルハンドラを無効化

マイクロソフトは、Windows AppXインストーラー偽装の脆弱性を利用してウェブサイトから直接悪意のあるアプリをインストールする攻撃で使用されたMSIXのms-appinstallerプロトコルハンドラーを無効にすると発表しました

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479

MSIXのms-appinstallerプロトコルが悪意のある方法で使用される可能性があることが通知されました。具体的には、攻撃者がApp Installerになりすまして、ユーザーがインストールを意図していないパッケージをインストールする可能性があります。このなりすましの脆弱性は、Microsoft Security Resource Center (MSRC)によって追跡されており、現在の状況の詳細はCVE-2021-43890に記載されています。

この決定は、2021年12月のパッチチューズデーにおいて、この脆弱性(CVE-2021-43890として追跡される)に対処するセキュリティ更新プログラムをリリースし、パッチを展開せずにMSIXスキームを無効にするようにしました。

このプロトコルを完全に無効にする理由は、12月のセキュリティ更新プログラムをまだインストールしていない、あるいは回避策を適用していないユーザーを含む、すべてのWindowsユーザーを保護するためだと思われます。

現在この脆弱性への対応に積極的に取り組んでいます。今のところ、ms-appinstallerのスキーム(プロトコル)を無効にしています。これは、App InstallerがWebサーバーから直接アプリをインストールできないことを意味しています。その代わり、ユーザーはまずアプリを自分のデバイスにダウンロードしてから、App Installerでパッケージをインストールする必要があります

この機能が多くの企業にとって重要であることを認識しており、時間をかけて徹底的なテストを行い、プロトコルの再有効化が安全な方法で行えることを確認しています。

IT管理者がプロトコルを再有効化し、組織内での使用を制御できるようなグループポリシーの導入を検討しています

ms-appinstallerを悪用してマルウェアを送り込む脅威の手口

Emotetは12月初旬に、Adobe PDFソフトウェアを装った悪意のあるWindows AppXインストーラーパッケージを使用して、Windows 10およびWindows 11システムへの拡散・感染を開始しました。

Emotet社のフィッシングメールは、盗んだ返信チェーンメールを使用し、被害者に前回の会話に関連するPDFを開くように指示します。

電子メールに埋め込まれたリンクをクリックすると、受信者はPDFを開くのではなく、Windows App Installerプログラムを起動し、”Adobe PDF Component “のインストールを求めるページにリダイレクトされます。

「App Installer」は、一見すると正規のAdobe製アプリのように見えますが、ユーザーが「インストール」ボタンをクリックすると、Microsoft Azure上でホストされている悪意のある「appxbundle」をダウンロードしてインストールします。

このAppXインストーラー偽装の脆弱性は、Microsoft Azureにホストされた悪意のあるパッケージを介して、*.web.core.windows.netのURLを使用してBazarLoaderマルウェアを配布するためにも利用されました。

コメントを残す

メールアドレスが公開されることはありません。