Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

www.tuoitre.vn -   08/02/2022 12:00:00 714

Microsoft vừa phải vô hiệu hóa trình xử lý giao thức MSIX ms-appinstaller. Lý do là vì MSIX bị khai thác trong một cuộc tấn công bằng malware để cài đặt ứng dụng độc hại trực tiếp từ một trang web thông qua lỗ hổng giả mạo Windows AppX Installer.

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Quyết định vô hiệu hóa MSIX được đưa ra sau khi Microsoft phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng (CVE-2021-43890) trong bản vá Patch Tuesday tháng 12/2021. Gã khổng lồ phần mềm cũng cung cấp các giải pháp để vô hiệu hóa MSIX mà không cần triển khai các bản vá.

Nhiều khả năng Microsoft vô hiệu hóa hoàn toàn giao thức MSIX là để bảo vệ tất cả khách hàng Windows, bao gồm cả những người chia cài bản cập nhật bảo mật tháng 12 hoặc chưa áp dụng các giải pháp khắc phục.

"Chúng tôi đang tích cực làm việc để giải quyết lỗ hổng bảo mật này. Hiện tại, chúng tôi đã vô hiệu hóa lược đồ ms-appinstaller (giao thức). Điều này có nghĩa là App Installer sẽ không thể cài đặt trực tiếp ứng dụng từ máy chủ web. Thay vào đó, người dùng sẽ phải tải ứng dụng về thiết bị đã sau đó mới có thể cài gói với App Installer", Quản lý Chương trình Dian Hartono của Microsoft chia sẻ.

"Chúng tôi nhận thấy rằng tính năng này rất quan trọng với nhiều tổ chức, doanh nghiệp. Chúng tôi đang dành thời gian để tiến hành kiểm tra kỹ lưỡng nhằm đảm bảo rằng việc kích hoạt lại giao thức có thể thực hiện một cách an toàn".

"Chúng tôi cũng đang xem xét tung ra một Group Policy cho phép quản trị viên IT kích hoạt lại giao thức và kiểm soát việc sử dụng nó trong tổ chức của họ".

Trình xử lý giao thức MSIX bị Microsoft vô hiệu hóa vì bị mã độc Emote khai thác

Hacker lợi dụng ms-appinstaller để cài mã độc như thế nào?

Hồi tháng 12/2021, hacker đã bắt đầu phát tán mã độc Emotet lên các hệ thống Windows 10 và Windows 11 bằng cách sử dụng các gói Windows AppX Installer độc hại được ngụy trang dưới dạng phần mềm Adobe PDF.

Các email lừa đảo của Emotet sử dụng chuỗi mail trả lời bị đánh cắp để hướng dẫn nạn nhân mở các tệp PDF có liên quan tới cuộc trò chuyện trước đó. Tuy nhiên, khi nhấp vào, các liên kết được nhúng trong email sẽ chuyển hướng đến các trang mà thay vì mở PDF sẽ khởi chạy Windows App Installer và yêu cầu cài đặt một thành phần PDF, "Adobe PDF Component".

Mặc dù trông giống như ứng dụng Adobe thật nhưng khi người dùng nhấn nút Install, App Installer sẽ tải xuống và cài đặt một appxbundle độc hại được lưu trữ trên Microsoft Azure.

Lỗ hổng giả mạo App Installer này cũng được dùng để phân phối malware BazarLoarder thông qua các gói cài đặt độc hại được lưu trữ trên Microsoft Azure, sử dụng các URL dạng *.web.core.windows.net.

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 52
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 58
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 37
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 39
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 49
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 49
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ