Microsoft

Microsoft anunció la semana pasada que deshabilitará temporalmente el controlador de protocolo MSIX ms-appinstaller en Windows luego de la evidencia de que los actores de amenazas explotaron una vulnerabilidad de seguridad en el componente del instalador para entregar malware como Emotet, TrickBot y Bazaloader.

MSIX , basado en una combinación de tecnologías de instalación .msi, .appx, App-V y ClickOnce, es un formato de paquete de aplicaciones de Windows universal que permite a los desarrolladores distribuir sus aplicaciones para el sistema operativo de escritorio y otras plataformas . ms-appinstaller, específicamente, está diseñado para ayudar a los usuarios a instalar una aplicación de Windows simplemente haciendo clic en un enlace en un sitio web.

Pero una vulnerabilidad de suplantación descubierta en Windows App Installer ( CVE-2021-43890 , puntuación CVSS: 7.1) significaba que podía ser engañado para instalar una aplicación no autorizada que el usuario nunca tuvo la intención de instalar a través de un archivo adjunto malicioso utilizado en campañas de phishing.

Abuso de malware

Aunque Microsoft lanzó parches iniciales para abordar esta falla como parte de sus actualizaciones del martes de parches de diciembre de 2021 , la compañía ahora ha deshabilitado el esquema ms-appinstaller mientras trabaja para tapar completamente el agujero de seguridad y evitar una mayor explotación.

«Esto significa que App Installer no podrá instalar una aplicación directamente desde un servidor web», dijo Dian Hartono . «En cambio, los usuarios primero deberán descargar la aplicación en su dispositivo y luego instalar el paquete con el instalador de la aplicación. Esto puede aumentar el tamaño de descarga de algunos paquetes».

Con Microsoft retirando el soporte para el protocolo, la compañía también recomienda a los desarrolladores que actualicen los enlaces de descarga de aplicaciones en sus sitios web eliminando los esquemas «ms-appinstaller:?source=» para que se pueda descargar el paquete MSIX o el archivo .appinstaller.

Fuente y redacción: thehackernews.com

Compartir