Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

www.tuoitre.vn -   08/02/2022 12:00:00 502

Microsoft vừa phải vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller. Lý do là vì MSIX bị khai thác trong một cuộc tấn công bằng malware để cài đặt ứng dụng độc hại trực tiếp từ một trang web thông qua lỗ hổng giả mạo Windows AppX Installer.

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Quyết định vô hiệu hóa MSIX được đưa ra sau khi Microsoft phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng (CVE-2021-43890) trong bản vá Patch Tuesday tháng 12/2021. Gã khổng lồ phần mềm cũng cung cấp các giải pháp để vô hiệu hóa MSIX mà không cần triển khai các bản vá.

Nhiều khả năng Microsoft vô hiệu hóa hoàn toàn giao thức MSIX là để bảo vệ tất cả khách hàng Windows, bao gồm cả những người chia cài bản cập nhật bảo mật tháng 12 hoặc chưa áp dụng các giải pháp khắc phục.

"Chúng tôi đang tích cực làm việc để giải quyết lỗ hổng bảo mật này. Hiện tại, chúng tôi đã vô hiệu hóa lược đồ ms-appinstaller (giao thức). Điều này có nghĩa là App Installer sẽ không thể cài đặt trực tiếp ứng dụng từ máy chủ web. Thay vào đó, người dùng sẽ phải tải ứng dụng về thiết bị đã sau đó mới có thể cài gói với App Installer", Quản lý Chương trình Dian Hartono của Microsoft chia sẻ.

"Chúng tôi nhận thấy rằng tính năng này rất quan trọng với nhiều tổ chức, doanh nghiệp. Chúng tôi đang dành thời gian để tiến hành kiểm tra kỹ lưỡng nhằm đảm bảo rằng việc kích hoạt lại giao thức có thể thực hiện một cách an toàn".

"Chúng tôi cũng đang xem xét tung ra một Group Policy cho phép quản trị viên IT kích hoạt lại giao thức và kiểm soát việc sử dụng nó trong tổ chức của họ".

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Hacker lợi dụng ms-appinstaller để cài mã độc như thế nào?

Hồi tháng 12/2021, hacker đã bắt đầu phát tán mã độc Emotet lên các hệ thống Windows 10 và Windows 11 bằng cách sử dụng các gói Windows AppX Installer độc hại được ngụy trang dưới dạng phần mềm Adobe PDF.

Các email lừa đảo của Emotet sử dụng chuỗi mail trả lời bị đánh cắp để hướng dẫn nạn nhân mở các tệp PDF có liên quan tới cuộc trò chuyện trước đó. Tuy nhiên, khi nhấp vào, các liên kết được nhúng trong email sẽ chuyển hướng đến các trang mà thay vì mở PDF sẽ khởi chạy Windows App Installer và yêu cầu cài đặt một thành phần PDF, "Adobe PDF Component".

Mặc dù trông giống như ứng dụng Adobe thật nhưng khi người dùng nhấn nút Install, App Installer sẽ tải xuống và cài đặt một appxbundle độc hại được lưu trữ trên Microsoft Azure.

Lỗ hổng giả mạo App Installer này cũng được dùng để phân phối malware BazarLoarder thông qua các gói cài đặt độc hại được lưu trữ trên Microsoft Azure, sử dụng các URL dạng *.web.core.windows.net.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ những lỗ hổng bảo mật ...

23/09/2022 08:00:00 69
Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việ...

Cách xem mật khẩu Wi-Fi của bạn trong iO...

19/09/2022 08:00:00 9
Quên mật khẩu cho một trong các mạng Wi-Fi của bạn? Hãy để Kaspersky chỉ cho bạn cách tìm lại mật kh...

Cách phục hồi tin nhắn đã xoá trên iPhon...

16/09/2022 08:00:00 10
Trong bài viết này, Kaspersky sẽ hướng dẫn bạn cách phục hồi tin nhắn đã xoá trên iPhone của bạn.

64 lỗ hổng bảo mật mới đã được Microsoft...

15/09/2022 08:00:00 13
Hôm thứ Ba, gã khổng lồ công nghệ Microsoft đã đưa ra các bản sửa lỗi để khắc phục 64 lỗi bảo mật mớ...

Apple phát hành bản cập nhật iOS và macO...

14/09/2022 08:00:00 10
Apple đã phát hành một đợt cập nhật bảo mật khác để giải quyết nhiều lỗ hổng trong iOS và macOS, bao...

Khu vực APAC chiếm 24% số email độc hại ...

13/09/2022 08:00:00 49
Kể từ khi được gửi đi lần đầu tiên năm 1978, đến nay thư rác tăng lên không chỉ về số lượng, mà còn ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ