Windows: CVE-2021-43890 ausnutzbar: App-Installer-Protokoll deaktiviert; Storm-1152 ausgeschaltet

Sicherheit (Pexels, allgemeine Nutzung)[English]Ich packe zum Jahresende noch einige "Gruselgeschichten" rund um das Thema "Sicherheit in Microsoft-Produkten" zusammen. So hat Microsoft den MSXI-App-Installer-Protokoll deaktiviert, weil dieses von Malware-Gruppen missbraucht wurde. Dann gab es die Schwachstelle CVE-2021-43890, die längst gefixt zu sein schien, jetzt aber in freier Wildbahn ausgenutzt wird. Und Microsoft hat einen Gateway-Dienste, der von Cyberkriminellen der Gruppe Storm-1152 genutzt wurde, stilllegen lassen.


Anzeige

App-Installer-Protokoll deaktiviert

Das von Microsoft entwickelte ms-appinstaller URI (Uniform Resource Identifier) Schema (Protokoll) ermöglicht es ab Windows 10 (v1607), Apps direkt von einem Webserver herunterzuladen und zu installieren. Auf dieser Microsoft-Seite heißt es nun, dass dieses URI-Schema jetzt standardmäßig deaktiviert sei. Das URI-Schema kann jedoch von einem Administrator per Gruppenrichtlinie aktiviert werden.

ms-appinstaller protocol deactived

Die Erklärung für diesen Schritt findet sich im Blog-Beitrag Financially motivated threat actors misusing App Installer vom 28. Dezember 2023.

Attacks via ms-appinstaller protocol

Seit Mitte November 2023 beobachtet Microsoft Threat Intelligence, dass Bedrohungsakteure (teilweise mit finanziellen Adressen) wie Storm-0569, Storm-1113, Sangria Tempest und Storm-1674, das ms-appinstaller URI-Schema (App Installer) zur Verbreitung von Malware nutzen. Die Angreifer missbrauchen die aktuelle Implementierung des ms-appinstaller-Protokoll-Handlers als Zugriffsvektor für Malware, was zur Verbreitung von Ransomware führen kann.

Mehrere Cyberkriminelle verkaufen laut Microsoft auch ein Malware-Kit als Service, das das MSIX-Dateiformat und den ms-appinstaller-Protokoll-Handler missbraucht. Diese Bedrohungsakteure verbreiten signierte bösartige MSIX-Anwendungspakete über Websites, die über bösartige Werbung für legitime populäre Software aufgerufen werden. Ein zweiter Phishing-Vektor über Microsoft Teams wird ebenfalls von Storm-1674 genutzt.

Die Angreifer haben sich laut Microsoft wahrscheinlich für den ms-appinstaller-Protokoll-Handler-Vektor entschieden, weil damit Mechanismen umgangen werden können, die die Benutzer vor Malware schützen sollen. Dazu zählen z. B. der Microsoft Defender SmartScreen und die integrierte Browserwarnungen für Downloads von ausführbaren Dateiformaten.

Als Reaktion auf diese Erkenntnisse wurde das ms-appinstaller-Protokoll-Handler standardmäßig deaktiviert. Der Microsoft-Beitrag enthält eine detaillierte Beschreibung des Sachverhalts sowie Empfehlungen für Administratoren rund um das Thema.


Anzeige

War CVE-2021-43890 nicht geschlossen?

Als ich das Thema ms-appinstaller-Protokoll wird deaktiviert gelesen habe, klingelte was bei mir im Hinterkopf "gab es da nicht ein Update für die Schwachstelle CVE-2021-43890"? Und in der Tat wurde ich im Blog-Beitrag Microsoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022) fündig. Nachdem Ransomware wie Emotet oder BazarLoader den MSIX ms-appinstaller Protokoll-Handler missbrauchten, hat Microsoft diesen seinerzeit "vorerst" in Windows als Schutz deaktiviert. War schon die zweite Aktion, nachdem an dieser Stelle im Dezember 2021 bereits CVE-2021-43890 gepatcht wurde.

History of CVE-2021-43890

Mir ist obiger Tweet von Will Dormann untergekommen. Dormann weist darauf hin, dass die Schwachstelle CVE-2021-43890 von Microsoft im Dezember 2021 gepatcht wurde. Jetzt heißt es im Dezember 2023, dass das ms-appinstaller Protokoll missbraucht wurde. Laut Dormann wurde der Patch für die Schwachstelle CVE-2021-43890 im April 2023 versehentlich wieder beseitigt, das Ganze war also wieder angreifbar. Und nun wurde das ms-appinstaller-Protokoll halt wieder deaktiviert.

Wann und wie hat Microsoft das gemacht?

Ergänzung: An dieser Stelle war mir unklar, wann und wie das ms-appinstaller-Protokoll letztendlich deaktiviert wurde. Die Tage gab es keine Updates – ich tippte darauf, dass die Deaktivierung mit den Sicherheitsupdates vom 12. Dezember 2023 erfolgte. Zumindest findet sich auf MS Answers der Beitrag Why has the ms-appinstaller protocol been disabled? vom 15. Dezember 2023, was passen würde.

MSXI app installer protocol disabled

Die betroffene Person hat obiges Bild gepostet und schreibt, dass der dies ab dem 13. Dezember 2023 zu sehen bekam. Auf GitHub gibt es dann noch diese Zusammenfassung. Zumindest ist jetzt erklärt, warum der Protokoll-Handler deaktiviert wurde. Weiterhin gibt es einen Nachtrag vom 4. Dezember 2023 auf der MicrosoftDosc-GitHub-Seite für MSIX, wo die Deaktivierung erwähnt wird.

In oben referenzierten GitHub-Beitrag erwähnt Giovanni Bozzano, dass mit dem Release des MSXI-App-Installers Version 1.21.3421.0 zum 12. Dezember 2023 das Protokoll erneut deaktiviert worden sei. Und es gibt den Artikel Microsoft addresses App Installer abuse des MSRC vom 28. Dezember 2023, der Administratoren die Installation der MSXI App Installer Version 1.21.3421.0 empfiehlt, um CVE-2021-43890 zu schließen.

In der Techcommunity gibt es in diesem Artikel übrigens noch einen Nachtrag vom 5. August 2022, der besagt, dass der Fix zur Aktivierung des ms-appinstaller Protokoll-Handlers in Windows 11 Insider Preview Build 25147 für den Dev Channel ausgerollt wurde. Nach diesem Zeitpunkt wurde die Aktivierung wohl in die Windows 10/11 Produktiv-Versionen ausgerollt. Der Techcommunity-Beitrag enthält auch die Informationen, wie der Protokoll-Handler per Gruppenrichtlinien aktiviert und deaktiviert werden kann.

Damit ist geklärt, wann und warum die Abschaltung passiert ist. Microsoft in Reinkultur.

Gateway-Dienste von Cyberkriminellen (Storm-1152) abgeschaltet

Auch diese Aktion ist mir bereits vor einigen Tagen untergekommen. Betrügerische Online-Konten sind das Einfallstor für eine Vielzahl von Cyberkriminalität, darunter Massen-Phishing, Identitätsdiebstahl und -betrug sowie Distributed-Denial-of-Service-Angriffe (DDoS). Die Cybergruppe Storm-1152 betrieb illegale Websites und Social-Media-Seiten, auf denen gefälschte Microsoft-Konten und Tools zur Umgehung von Identitätsüberprüfungssoftware auf bekannten Technologieplattformen verkauft werden.

Mit diesen Angeboten verringert die Cyberkriminellen den Zeit- und Arbeitsaufwand, den Angreifer benötigen, um eine Vielzahl von kriminellen und missbräuchlichen Handlungen online durchzuführen. Bis heute hat Storm-1152 laut diesem Microsoft-Beitrag etwa 750 Millionen gefälschte Microsoft-Konten zum Verkauf angeboten. Mit diesem Verkäufen konnte die Gruppe Einnahmen in Millionenhöhe erzielen.

Storm-1152 spielt eine wichtige Rolle im hochspezialisierten Cybercrime-as-a-Service-Ökosystem. Cyberkriminelle benötigen betrügerische Konten, um ihre weitgehend automatisierten kriminellen Aktivitäten zu unterstützen.

Am Donnerstag, den 7. Dezember 2023, erwirkte Microsoft eine gerichtliche Verfügung des Southern District of New York, um die in den USA ansässige Infrastruktur zu beschlagnahmen und die von Storm-1152 genutzten Websites offline zu nehmen. Im Rahmen der Aktion wurden folgende Angebote still gelegt:

  • Hotmailbox.me, eine Website, die betrügerische Microsoft Outlook-Konten verkauft
  • 1stCAPTCHA, AnyCAPTCHA und NoneCAPTCHA, Websites, die den Aufbau, die Infrastruktur und den Verkauf des CAPTCHA-Lösungsdienstes zur Umgehung der Bestätigung der Nutzung und der Einrichtung eines Kontos durch eine echte Person erleichtern. Diese Websites verkauften Tools zur Umgehung der Identitätsprüfung für andere Technologieplattformen
  • Die Social-Media-Seiten, die aktiv für die Vermarktung dieser Dienste genutzt wurden

Im Rahmen der Aktion wurde auch die Identität der Akteure bestätigen, die die Operationen von Storm-1152 anführten. Es handelt sich um die in Vietnam ansässigen Personen Duong Dinh Tu, Linh Van Nguyễn (auch bekannt als Nguyễn Van Linh) und Tai Van Nguyen. Ermittlungen zeigen, dass diese Personen den Code für die illegalen Websites betrieben und geschrieben haben, detaillierte Schritt-für-Schritt-Anleitungen zur Nutzung ihrer Produkte in Form von Video-Tutorials veröffentlichten und Chat-Dienste zur Unterstützung der Nutzer ihrer betrügerischen Dienste anboten. Microsoft hat inzwischen eine Strafanzeige bei den US-Strafverfolgungsbehörden eingereicht, in der Hoffnung, diese Personen vor Gericht bringen zu können.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Windows: CVE-2021-43890 ausnutzbar: App-Installer-Protokoll deaktiviert; Storm-1152 ausgeschaltet

  1. Ralf M. sagt:

    Alle Jahre wieder…
    https://www.borncity.com/blog/2022/02/05/microsoft-deaktiviert-msix-ms-appinstaller-protokoll-handler-in-windows-feb-2022/

    Kommt halt davon wenn man sich für mehrere Installationsoptionen entscheidet und nicht die härtet die bereits vorhanden sind. Doof nun wiederum für die Admins die den Zugriff auf den MS App Store im Unternehmen gesperrt haben und benötigte Apps mit Powershell per Sideload installieren. Kommt das Update und das Protokoll wird deaktiviert funktioniert das halt auch nicht mehr.

  2. 1ST1 sagt:

    "An dieser Stelle war mir unklar, wann und wie das ms-appinstaller-Protokoll letztendlich deaktiviert wurde."

    Vielleicht durch ein KIR?

    Witzigerweise gibts aber auch ein Update für den MSXI-App-Installer, das aber scheinbar noch nicht per Windows-Update installiert wurde? Bleeping verlinkt in dem Zusammenhang auf folgende Seite, der die Lücke schließen soll:

    https://learn.microsoft.com/en-us/windows/msix/app-installer/install-update-app-installer?branch=stwhi-main%2Finstall-app-installer

    Das Ding kommt aber als *.msixbundle Datei… *pfeif*

    Add-AppPackage -path ".\\Microsoft.DesktopAppInstaller_8wekyb3d8bbwe.msixbundle"

    geht aber. Wer uneingeschränkten Zugang zum Internet hat (also in Firmen mit guten Sicherheitsstandard, z.B. in dem ein Proxy zum Einsatz kommt, eher nicht), kann auch Winget benutzen, um den Appinstaller zu aktualisieren: winget upgrade Microsoft.AppInstaller

    Achja, und wer gerade das "Teams-New" ausprobieren will, der Download ist auch eine *.msix Datei…

    Add-AppPackage -path ".\\MSTeams-x64.msix"

    geht.

    Anmerkung: Die Kommentarfunktion dieses Blogs macht micht beim Einfügen von Backslashes noch wahnsinnig, entweder es erscheint keiner wenn man nur einen eintippt, oder wenn man zwei davon eintippt, erscheinen (nach der Moderation des Beitrages) auch zwei davon… -Natürlich soll es nur ein Backslash sein.

  3. 1ST1 sagt:

    Noch eine hochinteressante Info:

    Microsoft ändert Single-Sign-on in Windows 10 / 11 :

    https://www.windowspro.de/news/microsoft-aendert-single-sign-windows-10-11/05579.html

    Geht doch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.