Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

www.tuoitre.vn -   08/02/2022 12:00:00 1276

Microsoft vừa phải vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller. Lý do là vì MSIX bị khai thác trong một cuộc tấn công bằng malware để cài đặt ứng dụng độc hại trực tiếp từ một trang web thông qua lỗ hổng giả mạo Windows AppX Installer.

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Quyết định vô hiệu hóa MSIX được đưa ra sau khi Microsoft phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng (CVE-2021-43890) trong bản vá Patch Tuesday tháng 12/2021. Gã khổng lồ phần mềm cũng cung cấp các giải pháp để vô hiệu hóa MSIX mà không cần triển khai các bản vá.

Nhiều khả năng Microsoft vô hiệu hóa hoàn toàn giao thức MSIX là để bảo vệ tất cả khách hàng Windows, bao gồm cả những người chia cài bản cập nhật bảo mật tháng 12 hoặc chưa áp dụng các giải pháp khắc phục.

"Chúng tôi đang tích cực làm việc để giải quyết lỗ hổng bảo mật này. Hiện tại, chúng tôi đã vô hiệu hóa lược đồ ms-appinstaller (giao thức). Điều này có nghĩa là App Installer sẽ không thể cài đặt trực tiếp ứng dụng từ máy chủ web. Thay vào đó, người dùng sẽ phải tải ứng dụng về thiết bị đã sau đó mới có thể cài gói với App Installer", Quản lý Chương trình Dian Hartono của Microsoft chia sẻ.

"Chúng tôi nhận thấy rằng tính năng này rất quan trọng với nhiều tổ chức, doanh nghiệp. Chúng tôi đang dành thời gian để tiến hành kiểm tra kỹ lưỡng nhằm đảm bảo rằng việc kích hoạt lại giao thức có thể thực hiện một cách an toàn".

"Chúng tôi cũng đang xem xét tung ra một Group Policy cho phép quản trị viên IT kích hoạt lại giao thức và kiểm soát việc sử dụng nó trong tổ chức của họ".

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Hacker lợi dụng ms-appinstaller để cài mã độc như thế nào?

Hồi tháng 12/2021, hacker đã bắt đầu phát tán mã độc Emotet lên các hệ thống Windows 10 và Windows 11 bằng cách sử dụng các gói Windows AppX Installer độc hại được ngụy trang dưới dạng phần mềm Adobe PDF.

Các email lừa đảo của Emotet sử dụng chuỗi mail trả lời bị đánh cắp để hướng dẫn nạn nhân mở các tệp PDF có liên quan tới cuộc trò chuyện trước đó. Tuy nhiên, khi nhấp vào, các liên kết được nhúng trong email sẽ chuyển hướng đến các trang mà thay vì mở PDF sẽ khởi chạy Windows App Installer và yêu cầu cài đặt một thành phần PDF, "Adobe PDF Component".

Mặc dù trông giống như ứng dụng Adobe thật nhưng khi người dùng nhấn nút Install, App Installer sẽ tải xuống và cài đặt một appxbundle độc hại được lưu trữ trên Microsoft Azure.

Lỗ hổng giả mạo App Installer này cũng được dùng để phân phối malware BazarLoarder thông qua các gói cài đặt độc hại được lưu trữ trên Microsoft Azure, sử dụng các URL dạng *.web.core.windows.net.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 40
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 43
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 41
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 40
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 31
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 22
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ