Microsoft, MSIX ms-appinstaller protocol handler’ı çeşitli saldırı grupları tarafından kötüye kullanıldığı gerekçesiyle kapattı.
Saldırganların CVE-2021-43890 Windows AppX Installer zafiyetini kullanarak, Windows kullanıcılarını Defender SmartScreen anti-phishing ve anti-malware bileşeni gibi genellikle kötü amaçlı yazılımlardan koruyan güvenlik önlemlerini atlamak için MSIX’i kullandıkları tespit edildi.
Ayrıca, BazarLoader kötü amaçlı yazılımını dağıtmak için Microsoft Azure’da depolanan kötü amaçlı paketlerde *.web.core.windows.net URL’leri kullanılarak istismar edildiği ortaya çıktı.
Microsoft daha önce MSIX ms-appinstaller protocol handler’ı Emotet’in saldırısını engellemek için Şubat 2022’de devre dışı bırakmıştı ancak bu ayın başlarında MSIX ms-appinstaller protocol handler’ı bir kez daha devre dışı bıraktığı açıkladı.
Microsoft, 28 Aralık 2023 tarihinde varsayılan olarak devre dışı bırakıldığını belirtse de değişikliğin bu ayın başlarında yapıldığı bildiriliyor. Ancak, Microsoft’un Şubat 2022 ile Aralık 2023 arasında Windows App Installer’ı ne zaman ve neden yeniden etkinleştirdiği belirsiz.
Microsoft, son olarak istismar girişimlerini engellemek için App Installer sürümü 1.21.3421.0 veya daha sonrasını yüklemeyi önerdi ve en son App Installer sürümünü hemen yükleme imkanı olmayan ortamlarda EnableMSAppInstallerProtocol’ı Disabled olarak ayarlayarak protokolü devre dışı bırakmalarını önerdi.
Kaynak: bleepingcomputer.com
