Update fixt Windows AppX-Installer 0-day-Schwachstelle CVE-2021-43890 (Emotet-Schlupfloch)

Windows[English]Noch ein Nachtrag vom Dezember 2021-Patchday bezüglich des in Windows verwendeten AppX-Installers. Microsoft hat die Windows AppX Installer Spoofing-Schwachstelle CVE-2021-43890 durch ein Update geschlossen. Die Emotet-Gang hat versucht, diese Schwachstelle auszunutzen, um Systeme zu infizieren – ich hatte hier im Blog darüber berichtet. Hier ein kurzer Überblick über die Sachlage.


Anzeige

AppX-Installer 0-day-Schwachstelle CVE-2021-43890

Ich hatte das Thema Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das zum 2. Dezember 2021 in meinem Security Adventskalender versteckt: Der in Windows 10 und Windows 11 zum Installieren von Anwendungen und Apps verwendete AppX-Installer wies einen gravierenden Design-Fehler auf. Der nachfolgende Screenshot zeigt die Problematik der AppX-Installer 0-day-Schwachstelle CVE-2021-43890.

Trusted App with Emotet

Ein infizierter Emotet-Payload wird als Trusted App im Installer-Dialogfeld angezeigt. Die Aussage Trusted App basierte ausschließlich auf Angaben in einem Manifest, ohne dass irgend eine digitale Signatur ausgewertet wurde. Nur wenn der Nutzer auf den Link Trusted App klickt, bekam er den in obigem Tweet sichtbaren Hinweis Publisher Identity check mit dem wahrend Publisher der App angezeigt. Die Emotet-Gruppe nutzt dies aus, um den Dropper zur Installation der Ransomware als vertrauenswürdige Windows-App in Mail-Anhängen zu verteilen.

Es tut sich was beim AppX-Installer …

Bereits zum 14. Dezember 2021 hat Sicherheitsforscher Will Dormann den nachfolgenden Tweet veröffentlicht, der den Hinweis enthält, dass die URI des ms-appinstaller: durch Microsoft per Update gesperrt worden sei.


Anzeige

Das Thema hat Dormann seit dem 1. Dezember 2021 in einer Serie von Tweets aufbereitet. Melden sich Windows-Nutzer als Administrator an, konnte dies missbraucht werden. Denn bei ms-appinstaller: handelt es sich um ein URL-Protokoll über das die AppX-Installation von fast überall aus gestartet werden kann. Selbst das Öffenen eines Microsoft Office-Dokuments reichte.

Dormann empfahl, die  Gruppenrichtlinie "Prevent non-admin users from installing packaged Windows apps" (Nicht-Administrator-Benutzer an der Installation von gepackten Windows-Anwendungen hindern) zu aktivieren oder den ms-appinstaller per Reg-Datei für alle Benutzer zu deaktivieren.

Fix für CVE-2021-43890 in AppX-Installer

Zum 14. Dezember 2021 hat Microsoft den Sicherheitshinweis Windows AppX Installer Spoofing Vulnerability CVE-2021-43890 veröffentlicht, der den obigen Sachverhalt bestätigt und gleichzeitig die CVE offen legt. Dort heißt es, dass Microsoft Berichte über eine Spoofing-Schwachstelle im AppX-Installationsprogramm von Windows untersucht habe. Microsoft sind Angriffe bekannt, die versuchen, diese Schwachstelle mit speziell gestalteten Paketen auszunutzen, die die als Emotet/Trickbot/Bazaloader bekannte Malware-Familie enthalten.

Von Microsoft heißt es, dass ein Angreifer einen bösartigen Anhang erstellen könnte, der in Phishing-Kampagnen verwendet wird. Der Angreifer müsste dann den Benutzer dazu bringen, den speziell gestalteten Anhang zu öffnen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.

Im Artikel zu CVE-2021-43890 empfiehlt Microsoft als Gegenmaßnahme die Installation von Windows App-Paketen für Standardbenutzer und für Apps außerhalb des Microsoft Store per Gruppenrichtlinien (BlockNonAdminUserInstall und AllowAllTrustedApps, die Angabe AllowAllTrustedAppToInstall von Microsoft im Advisory stimmt so nicht – siehe auch folgende Kommentare) zu sperren. Zudem sollte das  ms-appinstaller-Protokoll deaktiviert werden, um Anwendungen direkt von einer Website zu installieren.

Sofern der Microsoft Store nicht per Gruppenrichtlinie blockiert wurde, sollte sich der AppX-Installer (Desktop-Installer) automatisch aktualisieren (siehe auch die folgenden Kommentare). Weiterhin hat Microsoft zum 14. Dezember 2021 den AppX-Installer (Desktop Installer) aktualisiert.

Administratoren sollten den aktualisierten Desktop Installer zeitnah installieren, das die Sicherheitsanbieter von FortiGuard Labsin folgendem Tweet, der auf diesen Artikel verweist,  melden,  dass die gerade gepatchte Windows-Schwachstelle CVE-2021-43890 ausgenutzt werde, um Malware auszuliefern. Das ist aber letztendlich die Bestätigung meiner Ausführungen aus obigem Abschnitt bzw. aus dem verlinkten Artikel.

Schwachstelle CVE-2021-43890 ausgenutzt

Ähnliche Artikel:
Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
Microsoft Security Update Summary (14. Dezember 2021)
Patchday: Windows 10-Updates (14. Dezember 2021)
Patchday: Windows 11-Updates (14. Dezember 2021)
Patchday: Windows 8.1/Server 2012-Updates (14. Dezember 2021)
Patchday: Updates für Windows 7/Server 2008 R2 (9. November 2021)
Patchday: Microsoft Office Dezember 2021 Updates (14.12.2021) verursacht Access-Probleme


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Antworten zu Update fixt Windows AppX-Installer 0-day-Schwachstelle CVE-2021-43890 (Emotet-Schlupfloch)

  1. Constantin sagt:

    Der Wert AllowAllTrustedAppToInstall existiert in keiner Police…. Wahrscheinlich meinte MS folgenden: AllowAllTrustedApps. BlockNonAdminUserInstall ist da jedenfalls auch zufinden….

    https://admx.help/

    Hinweis für die admins: Wenn man den Windows Store nicht verboten hat, aktualisiert sich der Installer automatisch.

  2. Thomas sagt:

    Nur damit ich das richtig verstehe, die CUs für Win10 vom Dezember fixen das nicht, man soll zusetztlich noch das Update für den Microsoft Desktop Installer installieren? O.o

  3. jup sagt:

    In meiner Testumgebung waren alle appx Pakete (incl dem Installer) automatisch aktualisiert …
    Ich finde aber keinerlei Info, wie, wann das im Hintergrund erfolgt (ist).

    Kennt da jemand ein Info dazu ?
    Die Powershell appx AutoUpdate Kommandos gehen in meiner Version nicht (LTSC 21'er)

  4. Carsten sagt:

    Und was ist, wenn der App Store verboten wurde? Ist man dann nicht angreifbar oder hat man sich ins eigene Fleisch geschnitten?

  5. 1ST1 sagt:

    Übrigens gibts gerade wieder mal Störungen in Microsoft Family Safety, sowohl in der Smartphone-App als auch auf der Webseite, man kann sich zwar anmelden, aber wenn man in den Status der Kinderaccounts reinschaut bzw. dort was ändern will, gibts Fehler.

  6. techee sagt:

    Wird der Microsoft.DesktopAppInstaller_1.16 auch für WSUS kommen?

  7. Jeremias sagt:

    2 Fragen:
    1. Die App heißt vermutlich : "App-Installer"? habe Version 1.16 13405.0 vom 15.12.2021 mit win 10 Pro 21H2 19044. 1415. Habe etwas suchen müssen denn Appx-Installer Desktop Installer noch Desktop Installer waren nicht zu finden weder auf Rechner noch im Store stattdessen im Store etliche andere Apps (vielleicht liegt es an dem Index im neuem Shop oder das Problem sitzt vor dem Gerät :-)).
    2. Egal sollte ich zusätzlich die Gpo anpassen?
    Danke!

    • Jeremias sagt:

      Hat sich erledigt (das Problem sass vor dem Bildschirm :-)). Einfach nochmal gelesen. Dennoch macht das setzen der GPO Sinn nur da traue ich mich nicht ran ohne eine Rückmeldung zu bekommen. Danke!

  8. Jeremias sagt:

    Ergänzung wenn das Update nicht reicht und die GPO angepasst werden muss habe ich Verständnisfragen weil die Reg Einträge nicht kommentiert sind und unklar ist welcher Wert gesetzt werden muss. Fehlerhafte Reg Einträge können dem System mehr schaden als nutzen.

    Der Rechner wird nur von mir genutzt und ich möchte entscheiden dürfen ob ich eine App außerhalb des Stores installieren kann. i.d.R. arbeite ich mit einem User oder Admin Rechte und installiere von diesem im laufenden betrieb eine gewünschte App mit Admin User.

    1. BlockNonAdminUserInstall mehrere Werte letzter Eintrag Value steht auf hex 0 (deaktiviert). Nach der Überschrift des MS Eintrag müsste der Eintrag aktiviert werden. Frage: wenn aktiviert ist es dann noch möglich mit dem Admin User unter angemeldeten nicht Admin User zu installieren?

    2. AllowAllTrustedApps der relevante Eintrag ist vermutlich Value der Steht auf hex und der eingetragene Wert ist ffff soll ich das auf hex lassen und 0 (deaktiviert eintragen?)
    Dieser Eintrag steuert ob man nur App im Store installieren kann und wäre dann für mich nicht ziel führend.

    Die anderen Setting aus dem MS Link beziehen sich aus meiner Sicht nur auf den Edge den ich zwar installiert habe aber nicht nutze. Macht es denn Sinn die Werte dennoch zu setzen?

    Vielleicht kann mir jemand helfen sonst muss ich es halt ausprobieren. Danke!

    • Constantin sagt:

      Hallo, es geht beim Problem nur um APPX Pakete, die kommen zu 99% aus dem Store.

      Der Angriffsvektor besteht dabei, den User einen Link zu einem präparierten APPX Paket zuschicken, welches der User dann installiert. Mit 1.16 13405.0 bist du erstmal sicher. Den Installier findest du hier im Store https://www.microsoft.com/en-us/p/app-installer/9nblggh4nns1?activetab=pivot:overviewtab

      "
      1. BlockNonAdminUserInstall mehrere Werte letzter Eintrag Value steht auf hex 0 (deaktiviert). Nach der Überschrift des MS Eintrag müsste der Eintrag aktiviert werden. Frage: wenn aktiviert ist es dann noch möglich mit dem Admin User unter angemeldeten nicht Admin User zu installieren?"

      Hier gibt es mehr zur Police, würde ich testen, da APPX Pakete sich ja eigentlich im User Kontext installieren und das wäre in dem Fall ja der Admin Kontext.

      https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.Appx::AppxDeploymentAllowAllTrustedApps

      "2. AllowAllTrustedApps der relevante Eintrag ist vermutlich Value der Steht auf hex und der eingetragene Wert ist ffff soll ich das auf hex lassen und 0 (deaktiviert eintragen?)
      Dieser Eintrag steuert ob man nur App im Store installieren kann und wäre dann für mich nicht ziel führend."

      Es geht ja nur um APPX Pakete, wieviel APPX Pakete hast du am Store vorbei installiert ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.