A Microsoft desativou um recurso do App Installer que permitia a instalação de aplicativos do Windows 10 diretamente de uma página da web ao clicar em um link que utilizava o esquema URI ms-appinstaller.
Essa funcionalidade vinha sendo explorada nos últimos meses por operadores de ameaças para distribuir ransomware e outros malwares.
“Os operadores de ameaças possivelmente optaram pelo vetor ms-appinstaller porque ele pode contornar mecanismos de segurança desenhados para proteger os usuários contra malwares, como o Microsoft Defender SmartScreen e alertas integrados do navegador para downloads de arquivos executáveis”, afirmou a Microsoft em um comunicado na última semana.
O protocol handler foi desativado em 28 de dezembro com o lançamento do App Installer versão 1.21.3421.0 após a empresa alertar sobre uma vulnerabilidade de spoofing no Windows AppX Installer (
CVE-2021-43890
) no último Patch Tuesday.
O App Installer é um recurso que foi introduzido no Windows 10 em 2016 para simplificar a instalação de aplicativos da Plataforma Universal do Windows (UWP), anteriormente conhecidos como aplicativos da Windows Store.
Esses aplicativos podem ser implementados em todos os dispositivos Windows e são distribuídos em um formato de pacote chamado MSIX como arquivos .msix ou .msixbundle.
O MSIX foi introduzido em 2019 e veio substituir o formato de pacote AppX para aplicativos na Microsoft Store.
Entretanto, os pacotes MSIX não se limitam a ser distribuídos pela Microsoft Store; eles também podem ser instalados offline e podem ser oferecidos em qualquer site graças ao esquema URI e ao protocol handler ms-appinstaller.
A Microsoft recomenda que as empresas adotem pacotes MSIX para a implementação de seus aplicativos porque eles proporcionam maior confiabilidade e sucesso na instalação, além de otimização da largura de banda e uso de espaço em disco.
Hackers começaram a explorar o esquema URI ms-appinstaller há algum tempo, direcionando usuários para páginas web falsificadas de softwares populares e, em seguida, instalando malware disfarçado como MSIX.
De acordo com a Microsoft, essa técnica foi adotada por diversos grupos, culminando em um incremento nos ataques durante novembro e dezembro de 2023.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...