Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

www.tuoitre.vn -   08/02/2022 12:00:00 1165

Microsoft vừa phải vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller. Lý do là vì MSIX bị khai thác trong một cuộc tấn công bằng malware để cài đặt ứng dụng độc hại trực tiếp từ một trang web thông qua lỗ hổng giả mạo Windows AppX Installer.

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Quyết định vô hiệu hóa MSIX được đưa ra sau khi Microsoft phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng (CVE-2021-43890) trong bản vá Patch Tuesday tháng 12/2021. Gã khổng lồ phần mềm cũng cung cấp các giải pháp để vô hiệu hóa MSIX mà không cần triển khai các bản vá.

Nhiều khả năng Microsoft vô hiệu hóa hoàn toàn giao thức MSIX là để bảo vệ tất cả khách hàng Windows, bao gồm cả những người chia cài bản cập nhật bảo mật tháng 12 hoặc chưa áp dụng các giải pháp khắc phục.

"Chúng tôi đang tích cực làm việc để giải quyết lỗ hổng bảo mật này. Hiện tại, chúng tôi đã vô hiệu hóa lược đồ ms-appinstaller (giao thức). Điều này có nghĩa là App Installer sẽ không thể cài đặt trực tiếp ứng dụng từ máy chủ web. Thay vào đó, người dùng sẽ phải tải ứng dụng về thiết bị đã sau đó mới có thể cài gói với App Installer", Quản lý Chương trình Dian Hartono của Microsoft chia sẻ.

"Chúng tôi nhận thấy rằng tính năng này rất quan trọng với nhiều tổ chức, doanh nghiệp. Chúng tôi đang dành thời gian để tiến hành kiểm tra kỹ lưỡng nhằm đảm bảo rằng việc kích hoạt lại giao thức có thể thực hiện một cách an toàn".

"Chúng tôi cũng đang xem xét tung ra một Group Policy cho phép quản trị viên IT kích hoạt lại giao thức và kiểm soát việc sử dụng nó trong tổ chức của họ".

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Hacker lợi dụng ms-appinstaller để cài mã độc như thế nào?

Hồi tháng 12/2021, hacker đã bắt đầu phát tán mã độc Emotet lên các hệ thống Windows 10 và Windows 11 bằng cách sử dụng các gói Windows AppX Installer độc hại được ngụy trang dưới dạng phần mềm Adobe PDF.

Các email lừa đảo của Emotet sử dụng chuỗi mail trả lời bị đánh cắp để hướng dẫn nạn nhân mở các tệp PDF có liên quan tới cuộc trò chuyện trước đó. Tuy nhiên, khi nhấp vào, các liên kết được nhúng trong email sẽ chuyển hướng đến các trang mà thay vì mở PDF sẽ khởi chạy Windows App Installer và yêu cầu cài đặt một thành phần PDF, "Adobe PDF Component".

Mặc dù trông giống như ứng dụng Adobe thật nhưng khi người dùng nhấn nút Install, App Installer sẽ tải xuống và cài đặt một appxbundle độc hại được lưu trữ trên Microsoft Azure.

Lỗ hổng giả mạo App Installer này cũng được dùng để phân phối malware BazarLoarder thông qua các gói cài đặt độc hại được lưu trữ trên Microsoft Azure, sử dụng các URL dạng *.web.core.windows.net.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Những kẻ lừa đảo đang sử dụng khuôn mặt ...

29/02/2024 08:00:00 30
Gần đây, một loại phần mềm độc hại trên điện thoại thông minh mới có tên Gold Pickaxe được thiết kế ...

Lỗ hổng SQLi nghiêm trọng trong plugin W...

28/02/2024 08:00:00 19
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến có tên Ultimate...

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 46
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 37
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 49
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 32
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ