Microsoft ukida instalaciju Windows aplikacija sa veba, ponovo
Microsoft je onemogućio protokol koji je omogućavao instalaciju Windows aplikacija, nakon što je otkrio da hakeri zloupotrebljavaju mehanizam kako bi instalirali maliciozni softver.
Neprijatno božićno iznenađenje dovodi malver kroz dimnjak
Ova odluka doneta je neposredno pre Božića i izgleda da je kopirala probleme koji su prvi put prijavljeni u decembru 2021, kako bi rešila ranjivost Windows AppX Installer-a (CVE-2021-43890), gde napadač može prevariti App Installer da instalira zlonamerni softver.
Microsoft je ponovo omogućio protokol po imenu ms-appinstaller URI scheme 5. avgusta 2022. godine, zajedno sa izdanjem Windows 11 Insider Preview Build 25147. Protokol je bio dostupan nekim poslovnim korisnicima koji su želeli da ga koriste putem Local Group Policy Editor-a.
ms-appinstaller URI scheme omogućava MSIX paket instalateru da instalira Windows aplikacije sa veb stranice koristeći lokalnu App Installer aplikaciju. Ovo omogućava instalaciju bez potrebe za lokalnim skladištenjem. To se pokazalo kao popularna funkcija, prema rečima Microsofta.
Nažalost, kako je prošle nedelje primetila Microsoft Threat Intelligence grupa, zločinci su zloupotrebljavali ms-appinstaller URI scheme kako bi distribuirali malver. Izgleda da je ovaj protokol pružao način da se zaobiđe sigurnosnih provera koje je postavio Microsoft.
“Pretpostavlja se da su napadači verovatno izabrali vektor ms-appinstaller protokola jer može da zaobiđe mehanizme dizajnirane da zaštite korisnike od malvera, kao što su Microsoft Defender SmartScreen i ugrađena upozorenja browsera za preuzimanje izvršnih formata fajlova”, objasnio je Microsoft.
Microsoft se oslanjao na to da će developeri morati da potpišu pakete svojih aplikacija “sertifikatom treće strane od poverenog sertifikacionog tela”, ali očigledno je stavio previše poverenja u takva tela.
Nakon odluke da prošle nedelje onemogući ms-appinstaller prema zadanim postavkama (u verziji App Installer-a 1.21.3421.0 ili višoj), Microsoft je objavio da sarađuje sa sertifikacionim telima “da povuče zloupotrebljene sertifikate za potpisivanje koda koje su koristili malverni uzorci koje smo identifikovali”.
Korisnicima koji imaju postavljenu EnableMSAppInstallerProtocol grupnu politiku na “Not Configured” (prazno) ili “Enabled”, a takođe koriste ranjive verzije App Installer-a – od v1.18.2691 do v1.21.3421, kao i Windows OS nadogradnje između oktobra 2022. i marta 2023. – savetuje se da ažuriraju App Installer i postave željenu politiku.
Za poslovne korisnike, sprovođenje promene politike na nivou mreže može zahtevati neki trud. A za one koji se oslanjaju na instalaciju putem veba kao kanala distribucije aplikacija, posledica je malo više trenja prilikom preuzimanja i instalacije nakon odgovarajućih provera.
Izvor: Theregister