Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist der skriver for flere australske publikationer.
Fuld bio den 7. februar 2022 | Emne: Sikkerhed
Microsoft har deaktiveret en Windows App Installer-funktion efter sin December Patch Tuesday afsløring om, at den blev aktivt udnyttet til at installere uønskede apps.
Fejlen var dårlige nyheder for Windows-domæner, hvor Microsoft bekræftede, at angribere brugte denne sårbarhed til at installere specielt fremstillede pakker og sprede Emotet/Trickbot/Bazaloader malware-familierne.
Windows AppX Installer er en Windows 10-funktion, der giver brugerne mulighed for at installere .appx-pakker.
I et blogindlæg, der forklarer, hvorfor det er slået ms-appinstaller-protokollen fra for MSIX Windows app-pakkeformatet, siger Microsoft, at en angriber kan bruge denne protokol til at “spoof App Installer for at installere en pakke, som brugeren ikke havde til hensigt at installere”.
Indtil videre ser det ud til, at Microsoft ikke fuldt ud har rettet den sårbarhed, der er beskrevet i december-rådgivningen for CVE-2021-43890. Med protokol deaktiveret kunne administratorer se downloadstørrelsen for nogle apppakker vokse og skabe en blokering for virksomheder, der distribuerer apps direkte fra en webside i forhold til f.eks. Microsoft Store.
“Vi arbejder aktivt på at løse denne sårbarhed,” siger Microsoft i et blogindlæg. “I øjeblikket har vi deaktiveret ms-appinstaller-skemaet (protokol). Det betyder, at App Installer ikke vil være i stand til at installere en app direkte fra en webserver. I stedet skal brugerne først downloade appen til deres enhed, og installer derefter pakken med App Installer. Dette kan øge downloadstørrelsen for nogle pakker.”
Som Microsoft forklarer, bringer MSIX en “moderne pakkeoplevelse” til ældre Windows-apps. “MSIX-pakkeformatet bevarer funktionaliteten af eksisterende app-pakker og/eller installationsfiler ud over at aktivere nye, moderne pakke- og implementeringsfunktioner til Win32, WPF og Windows Forms-apps,” bemærker Microsoft.
Microsoft har også opdateret sin side til installation af Windows 10-apps fra en webside for at afspejle ms-appinstaller, der er deaktiveret.
Microsoft har et par løsninger i tankerne, indtil det er i stand til at genoptage -aktiver protokollen, herunder “at undersøge indførelse af en gruppepolitik, der vil give it-administratorer mulighed for at genaktivere protokollen og kontrollere brugen af den i deres organisationer.”
Men den bemærker: “Vi erkender, at denne funktion er kritisk for mange virksomhedsorganisationer. Vi tager os tid til at udføre grundige tests for at sikre, at genaktivering af protokollen kan udføres på en sikker måde.”
Windows 10 | Sikkerheds-tv | Datastyring | CXO | Datacentre