Microsoft hat eine Funktion des Windows App Installers deaktiviert, nachdem am Patchday im Dezember bekannt wurde, dass diese aktiv ausgenutzt wird, um unerwünschte Anwendungen zu installieren. Angreifer können diese Sicherheitslücke nutzen, um speziell gestaltete Pakete zu installieren und die Malware-Familien Emotet/Trickbot/Bazaloader zu verbreiten.
Der Windows AppX Installer ist eine Funktion von Windows 10, mit der Benutzer .appx-Pakete installieren können. Die im Dezember in Advisory zu CVE-2021-43890 beschriebene Schwachstelle, die einen Missbrauch dieser Funktion erlaubt, wurde, allerdings nicht vollständig behoben.
„Wir arbeiten aktiv daran, diese Schwachstelle zu beheben“, so Microsoft in einem Blogpost. „Im Moment haben wir das ms-appinstaller-Protokoll deaktiviert. Das bedeutet, dass App Installer nicht in der Lage sein wird, eine App direkt von einem Webserver zu installieren. Stattdessen müssen die Benutzer die App zunächst auf ihr Gerät herunterladen und dann das Paket mit App Installer installieren. Dadurch kann sich die Downloadgröße für einige Pakete erhöhen.“
Wie Microsoft erklärt, bringt MSIX ein „modernes Paketierungserlebnis“ für ältere Windows-Anwendungen. „Das MSIX-Paketformat bewahrt die Funktionalität bestehender Anwendungspakete und/oder Installationsdateien und ermöglicht darüber hinaus neue, moderne Paketierungs- und Bereitstellungsfunktionen für Win32-, WPF- und Windows Forms-Anwendungen“, so Microsoft.
Bis zur Wiederaktivierung des Protokolls hat Microsoft einige Behelfslösungen im Sinn, darunter die „Prüfung der Einführung einer Gruppenrichtlinie, die es IT-Administratoren ermöglichen würde, das Protokoll wieder zu aktivieren und seine Verwendung innerhalb ihrer Organisation zu kontrollieren“.
Microsoft ergänzte: „Wir sind uns bewusst, dass diese Funktion für viele Unternehmen von entscheidender Bedeutung ist. Wir nehmen uns die Zeit, gründliche Tests durchzuführen, um sicherzustellen, dass die Wiederaktivierung des Protokolls auf sichere Weise erfolgen kann.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…