Microsoft hat eine Funktion des Windows App Installers deaktiviert, nachdem am Patchday im Dezember bekannt wurde, dass diese aktiv ausgenutzt wird, um unerwünschte Anwendungen zu installieren. Angreifer können diese Sicherheitslücke nutzen, um speziell gestaltete Pakete zu installieren und die Malware-Familien Emotet/Trickbot/Bazaloader zu verbreiten.
Der Windows AppX Installer ist eine Funktion von Windows 10, mit der Benutzer .appx-Pakete installieren können. Die im Dezember in Advisory zu CVE-2021-43890 beschriebene Schwachstelle, die einen Missbrauch dieser Funktion erlaubt, wurde, allerdings nicht vollständig behoben.
„Wir arbeiten aktiv daran, diese Schwachstelle zu beheben“, so Microsoft in einem Blogpost. „Im Moment haben wir das ms-appinstaller-Protokoll deaktiviert. Das bedeutet, dass App Installer nicht in der Lage sein wird, eine App direkt von einem Webserver zu installieren. Stattdessen müssen die Benutzer die App zunächst auf ihr Gerät herunterladen und dann das Paket mit App Installer installieren. Dadurch kann sich die Downloadgröße für einige Pakete erhöhen.“
Wie Microsoft erklärt, bringt MSIX ein „modernes Paketierungserlebnis“ für ältere Windows-Anwendungen. „Das MSIX-Paketformat bewahrt die Funktionalität bestehender Anwendungspakete und/oder Installationsdateien und ermöglicht darüber hinaus neue, moderne Paketierungs- und Bereitstellungsfunktionen für Win32-, WPF- und Windows Forms-Anwendungen“, so Microsoft.
Bis zur Wiederaktivierung des Protokolls hat Microsoft einige Behelfslösungen im Sinn, darunter die „Prüfung der Einführung einer Gruppenrichtlinie, die es IT-Administratoren ermöglichen würde, das Protokoll wieder zu aktivieren und seine Verwendung innerhalb ihrer Organisation zu kontrollieren“.
Microsoft ergänzte: „Wir sind uns bewusst, dass diese Funktion für viele Unternehmen von entscheidender Bedeutung ist. Wir nehmen uns die Zeit, gründliche Tests durchzuführen, um sicherzustellen, dass die Wiederaktivierung des Protokolls auf sichere Weise erfolgen kann.“
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.