[English]Nachdem Ransomware wie Emotet oder BazarLoader den MSIX ms-appinstaller Protokoll-Handler missbrauchten, hat Microsoft nun erneut reagiert. Der komplette MSIX ms-appinstaller Protokoll-Handler wurde vorerst in Windows – quasi als Schutz vor Emotet, BazarLoader oder ähnlicher Malware – deaktiviert. Das ist jetzt schon die zweite Maßnahme, nachdem im Dezember 2021 gepatcht wurde.
Anzeige
AppX-Installer-Schwachstelle CVE-2021-43890
Der in Windows 10 und Windows 11 zum Installieren von Anwendungen und Apps verwendete AppX-Installer wies einen gravierenden Design-Fehler auf. Dadurch konnte Malware wie Emotet oder BazarLoader die Nutzer austricksen und einen sauberen Download von Microsoft vorgaukeln. Der nachfolgende Screenshot zeigt die Problematik der AppX-Installer Schwachstelle CVE-2021-43890.
Ein infizierter Emotet-Payload wird als Trusted App im Installer-Dialogfeld angezeigt. Die Aussage Trusted App basierte ausschließlich auf Angaben in einem Manifest, ohne dass irgend eine digitale Signatur ausgewertet wurde. Nur wenn der Nutzer auf den Link Trusted App klickt, bekam er den in obigem Tweet sichtbaren Hinweis Publisher Identity check mit dem wahrend Publisher der App angezeigt. Die Emotet-Gruppe nutzt dies aus, um den Dropper zur Installation der Ransomware als vertrauenswürdige Windows-App in Mail-Anhängen zu verteilen. Ich hatte das Thema Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das zum 2. Dezember 2021 in meinem Security Adventskalender aufgegriffen.
Fix für CVE-2021-43890 im Dezember 2021
Bereits zum 14. Dezember 2021 hat Microsoft die URI des ms-appinstaller: per Update gesperrt und den Sicherheitshinweis Windows AppX Installer Spoofing Vulnerability CVE-2021-43890 veröffentlicht. Dort heißt es, dass Microsoft Berichte über eine Spoofing-Schwachstelle im AppX-Installationsprogramm von Windows untersucht habe. Microsoft sind Angriffe bekannt, die versuchen, diese Schwachstelle mit speziell gestalteten Paketen auszunutzen, die die als Emotet/Trickbot/Bazaloader bekannte Malware-Familie enthalten.
Im Artikel zu CVE-2021-43890 empfiehlt Microsoft als Gegenmaßnahme die Installation von Windows App-Paketen für Standardbenutzer und für Apps außerhalb des Microsoft Store zu blockieren. Ich hatte Details samt Download-Links für die betreffenden AppX-Installer (Desktop-Installer) im Blog-Beitrag Update fixt Windows AppX-Installer 0-day-Schwachstelle CVE-2021-43890 (Emotet-Schlupfloch) aufgegriffen.
Microsoft deaktiviert MSIX Protokoll-Handler
Es schaut so aus, als ob viele Administratoren da nicht reagiert und das Update für den AppX-Installer (Desktop-Installer) nicht installiert haben. Jedenfalls hat Microsoft jetzt reagiert und den MSIX ms-appinstaller Protokoll-Handler in Windows deaktiviert. Der nachfolgende Tweet weist auf den entsprechenden Techcommunity-Beitrag Disabling the MSIX ms-appinstaller protocol handler hin.
Dort erwähnt Microsoft den obigen Sachverhalt, dass man kürzlich darüber informiert worden sei, dass das ms-appinstaller-Protokoll für MSIX auf bösartige Weise verwendet werden kann. Diese Spoofing-Schwachstelle CVE-2021-43890 könnte von einem Angreifer genutzt werden, um einen sicheren App Installer vorzuspiegeln, und den Benutzer dazu zu bringen, das Malware-Paket zu installieren.
Anzeige
Microsoft arbeitet laut Aussage aktiv an der Behebung dieser Sicherheitslücke. Dazu wurde das ms-appinstaller-Schema (Protokoll) deaktiviert. Dies bedeutet, dass App Installer nicht in der Lage sein wird, eine Anwendung direkt von einem Webserver zu installieren. Stattdessen müssen die Benutzer die App zunächst auf ihr Gerät herunterladen und dann das Paket mit dem App-Installer installieren. Dies kann die Downloadgröße für einige Pakete erhöhen.
Hat Konsequenzen für Anbieter, die ms-appinstaller-Protokoll auf ihrer Website verwenden, denn das funktioniert nun nicht mehr. Microsoft empfiehlt, den Link zu Ihrer Anwendung zu aktualisieren und "ms-appinstaller:?source=" zu entfernen, damit das MSIX-Paket oder die App-Installer-Datei auf den Computer des Benutzers heruntergeladen werden kann. Weitere Erklärungen finden sich im Techcommunity-Artikel. (via)
2015
Existieren eigentlich schon Berechnungen, ab wann das Internet in seiner jetzigen Form, aufgrund der andauernden und stärker werdenden Häckeraktivitäten, unbrauchbar wird?
Also ich kann nur aus meinen 20 Jahren Erfahrung sprechen aber ich finde soviel hat sich auf der Bedrohungsseite gar nicht getan. Früher hat man sowas halt über Active-X Plugins realisiert. Das weitaus größere Problems ist meiner Meinung nach die heutige Cookie- und Werbeseuche.
Hmm, früher wurde auch viel "Schindluder" getrieben, aber in den letzten Jahren sind die Maschen mMn immer trickreicher geworden (ok, notwendigerweise, da natürliche Evolution von verfügbaren Angriffsvektoren & Gegenmaßnahmen…) und der durch Angriffe bzw. Viren produzierte (wirtschaftliche) Schaden ist mMn heute um ein vielfaches größer als noch vor 20 Jahren.
Die Zeiten von ILOVEYOU und simplen in ZIP-Dateien verpacketen EXE- oder COM-Dateien sind definitiv vorbei…
Die Tatsache, dass die anrichteten Schäden höher ausfallen liegt aber auch daran, dass die Verbreitung von IT-Equipment und die Abhängigkeit davon heute ungleich höher ist als noch vor 20 Jahren.
Das Internet war, vom Zeitpunkt an dem es nicht nur für ein paar Unis zu Forschungszwecken verfügbar war sondern für die "breite Masse" geöffnet wurde schon immer ein Stück weit "anonyme Anarchie" – und wer sich darauf einlässt, der muss auch damit rechnen, dass das nicht nur positive Seiten hat.
Es geht ja auch niemand mit einem "gläsernen Koffer voller Geld" in den übelsten Slum dieser Welt und erwartet ernsthaft dass er damit dort einfach so durchspazieren kann…
mmh wieso nicht den Koffer in der einen ne M61 Vulcan in der anderen ;-P Mach ich dir sofort wenn ich den Koffer mit Inhalt dann behalten kann.
b2t:
das Internet war schon immer ein für DAUs gefährliches Pflaster … nur das Verhältnis Nerd zu DAU hat sich umgekehrt ;-P
Erfahrungsgemäß sitzt das Problem zu 99% vor dem Bildschirm. Schlechte Wartung und leichtsinnige Nutzer sind Hauptproblem. Wer läßt seine Haustüre auch offen?
Wenn das Ausspähen von User-Informationen durch die Werbe-Industrie ("Datenkraken") und staatliche Stellen ("anlasslose Massenüberwachung") dazu erechnet wird, ist der Punkt "Unbrauchbar" schon lange überschritten.
Moin,
es wäre vielleicht einfacher gewesen, wenn sie das Installer Update ins kumulative Update gepackt hätten und nicht einzeln bereitstellen würden.
Ja es kommt automatisch wenn man den Store Aktiviert hat, aber das hat ja nicht jedes Unternehmen.
Trotzdem ist das nun eine gute Maßnahme die Sie da gehen.
Wenn Sie jetzt noch Office Macros weiter einschränken würden😅🙈.
Gruß
Constantin
gibt zig store apps die security issues haben und fernab von microsoft in diverse oem images genagelt werden. wie willst die per cu aktualisieren? entweder die admins lassen halt dann den store oder zumindest die updates für store apps zu, oder haben ein massives problem.
Ich benutze schon geraume Zeit keine Küchenmesser mehr ;-), viel zu gefährlich.
Der Satz …
>>Im Artikel zu CVE-2021-43890 empfiehlt Microsoft als Gegenmaßnahme die Installation von Windows App-Paketen für Standardbenutzer und für Apps außerhalb des Microsoft Store.
… ergibt so irgendwie keinen Sinn – vermutlich fehlt hier noch ein z.B. "zu unterbinden" am Ende des Satzes?
Ergibt irgendwie Sinn. Insbesondere Unternehmen im regulierten Bereich sperren den Store. Aber Microsoft wollte den mit aller Gewalt zum Teil des Systems machen. Das konnte nicht gut gehen.
Nach der Deaktivierung muss da eine Lösung für das Grundproblem her, sonst kommt alsbald ein ähnliches Problem.
Ich glaube ernsthaft, dass sich Microsoft bei solchen Dingen entscheiden muss, ob sie bei einem Teil ihrer Firmenkunden im Geschäft bleiben wollen oder nicht.
Die Store- und Cloud-Agenda wird überreizt.
Genauso wie das Modell Werbung und Datenanalyse. Schön zu sehen wieder beim letzten Edge-Update, wo es wieder ein Wettrennen war zwischen geupushten."Features" und rechtzeitiger Aktualisierung und Anpassung der GPO.
Der Drang, aus dem Hansterrad Microsoft-Software auszubrechen, gewinnt irgendwann die Oberhand.
Kleine Randnotiz: es hat knapp 2 Jahre gedauert, bis bei uns ein absoluter Microsoft-Apologet jeglichen Glauben an die Firma verloren hat. Alles, was es brauchte war, dass er zum obersten Verantwortlichen für die IT-Sicherheit wurde…
> Die Store- und Cloud-Agenda wird überreizt.
Prognose: Die Store- und Cloud- und (remote) Datenanalyse-Agenda wird weiter durch- und zusammengezogen, bis man eines Tages ohne gültiges Zugangszertifikat einfach komplett handlungsunfähig sein wird.
Viele Handynutzer haben freiwillig und selbständig zu grossen Teilen schon biometrische Zertifikate aus Touch-ID/Fingerabdruck und/oder Face-ID erstellt, jetzt fehlt nur noch die Zusammenführung mit den restlichen IT- und dann später sonstigen Aktivitäten.
Ich kann da keine Probleme erkennen. Die User machen es ja mit.