Windows: CVE-2021-43890 ausnutzbar: App-Installer-Protokoll deaktiviert; Storm-1152 ausgeschaltet

[English]Ich packe zum Jahresende noch einige "Gruselgeschichten" rund um das Thema "Sicherheit in Microsoft-Produkten" zusammen. So hat Microsoft den MSXI-App-Installer-Protokoll deaktiviert, weil dieses von Malware-Gruppen missbraucht wurde. Dann gab es die Schwachstelle CVE-2021-43890, die längst gefixt zu sein schien, jetzt aber in freier Wildbahn ausgenutzt wird. Und Microsoft hat einen Gateway-Dienste, der von Cyberkriminellen der Gruppe Storm-1152 genutzt wurde, stilllegen lassen.

App-Installer-Protokoll deaktiviert

Das von Microsoft entwickelte ms-appinstaller URI (Uniform Resource Identifier) Schema (Protokoll) ermöglicht es ab Windows 10 (v1607), Apps direkt von einem Webserver herunterzuladen und zu installieren. Auf dieser Microsoft-Seite heißt es nun, dass dieses URI-Schema jetzt standardmäßig deaktiviert sei. Das URI-Schema kann jedoch von einem Administrator per Gruppenrichtlinie aktiviert werden.

Die Erklärung für diesen Schritt findet sich im Blog-Beitrag Financially motivated threat actors misusing App Installer vom 28. Dezember 2023.

Seit Mitte November 2023 beobachtet Microsoft Threat Intelligence, dass Bedrohungsakteure (teilweise mit finanziellen Adressen) wie Storm-0569, Storm-1113, Sangria Tempest und Storm-1674, das ms-appinstaller URI-Schema (App Installer) zur Verbreitung von Malware nutzen. Die Angreifer missbrauchen die aktuelle Implementierung des ms-appinstaller-Protokoll-Handlers als Zugriffsvektor für Malware, was zur Verbreitung von Ransomware führen kann.

Mehrere Cyberkriminelle verkaufen laut Microsoft auch ein Malware-Kit als Service, das das MSIX-Dateiformat und den ms-appinstaller-Protokoll-Handler missbraucht. Diese Bedrohungsakteure verbreiten signierte bösartige MSIX-Anwendungspakete über Websites, die über bösartige Werbung für legitime populäre Software aufgerufen werden. Ein zweiter Phishing-Vektor über Microsoft Teams wird ebenfalls von Storm-1674 genutzt.

Die Angreifer haben sich laut Microsoft wahrscheinlich für den ms-appinstaller-Protokoll-Handler-Vektor entschieden, weil damit Mechanismen umgangen werden können, die die Benutzer vor Malware schützen sollen. Dazu zählen z. B. der Microsoft Defender SmartScreen und die integrierte Browserwarnungen für Downloads von ausführbaren Dateiformaten.

Als Reaktion auf diese Erkenntnisse wurde das ms-appinstaller-Protokoll-Handler standardmäßig deaktiviert. Der Microsoft-Beitrag enthält eine detaillierte Beschreibung des Sachverhalts sowie Empfehlungen für Administratoren rund um das Thema.

War CVE-2021-43890 nicht geschlossen?

Als ich das Thema ms-appinstaller-Protokoll wird deaktiviert gelesen habe, klingelte was bei mir im Hinterkopf "gab es da nicht ein Update für die Schwachstelle CVE-2021-43890"? Und in der Tat wurde ich im Blog-Beitrag Microsoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022) fündig. Nachdem Ransomware wie Emotet oder BazarLoader den MSIX ms-appinstaller Protokoll-Handler missbrauchten, hat Microsoft diesen seinerzeit "vorerst" in Windows als Schutz deaktiviert. War schon die zweite Aktion, nachdem an dieser Stelle im Dezember 2021 bereits CVE-2021-43890 gepatcht wurde.

Mir ist obiger Tweet von Will Dormann untergekommen. Dormann weist darauf hin, dass die Schwachstelle CVE-2021-43890 von Microsoft im Dezember 2021 gepatcht wurde. Jetzt heißt es im Dezember 2023, dass das ms-appinstaller Protokoll missbraucht wurde. Laut Dormann wurde der Patch für die Schwachstelle CVE-2021-43890 im April 2023 versehentlich wieder beseitigt, das Ganze war also wieder angreifbar. Und nun wurde das ms-appinstaller-Protokoll halt wieder deaktiviert.

Wann und wie hat Microsoft das gemacht?

Ergänzung: An dieser Stelle war mir unklar, wann und wie das ms-appinstaller-Protokoll letztendlich deaktiviert wurde. Die Tage gab es keine Updates – ich tippte darauf, dass die Deaktivierung mit den Sicherheitsupdates vom 12. Dezember 2023 erfolgte. Zumindest findet sich auf MS Answers der Beitrag Why has the ms-appinstaller protocol been disabled? vom 15. Dezember 2023, was passen würde.

Die betroffene Person hat obiges Bild gepostet und schreibt, dass der dies ab dem 13. Dezember 2023 zu sehen bekam. Auf GitHub gibt es dann noch diese Zusammenfassung. Zumindest ist jetzt erklärt, warum der Protokoll-Handler deaktiviert wurde. Weiterhin gibt es einen Nachtrag vom 4. Dezember 2023 auf der MicrosoftDosc-GitHub-Seite für MSIX, wo die Deaktivierung erwähnt wird.

In oben referenzierten GitHub-Beitrag erwähnt Giovanni Bozzano, dass mit dem Release des MSXI-App-Installers Version 1.21.3421.0 zum 12. Dezember 2023 das Protokoll erneut deaktiviert worden sei. Und es gibt den Artikel Microsoft addresses App Installer abuse des MSRC vom 28. Dezember 2023, der Administratoren die Installation der MSXI App Installer Version 1.21.3421.0 empfiehlt, um CVE-2021-43890 zu schließen.

In der Techcommunity gibt es in diesem Artikel übrigens noch einen Nachtrag vom 5. August 2022, der besagt, dass der Fix zur Aktivierung des ms-appinstaller Protokoll-Handlers in Windows 11 Insider Preview Build 25147 für den Dev Channel ausgerollt wurde. Nach diesem Zeitpunkt wurde die Aktivierung wohl in die Windows 10/11 Produktiv-Versionen ausgerollt. Der Techcommunity-Beitrag enthält auch die Informationen, wie der Protokoll-Handler per Gruppenrichtlinien aktiviert und deaktiviert werden kann.

Damit ist geklärt, wann und warum die Abschaltung passiert ist. Microsoft in Reinkultur.

Gateway-Dienste von Cyberkriminellen (Storm-1152) abgeschaltet

Auch diese Aktion ist mir bereits vor einigen Tagen untergekommen. Betrügerische Online-Konten sind das Einfallstor für eine Vielzahl von Cyberkriminalität, darunter Massen-Phishing, Identitätsdiebstahl und -betrug sowie Distributed-Denial-of-Service-Angriffe (DDoS). Die Cybergruppe Storm-1152 betrieb illegale Websites und Social-Media-Seiten, auf denen gefälschte Microsoft-Konten und Tools zur Umgehung von Identitätsüberprüfungssoftware auf bekannten Technologieplattformen verkauft werden.

Mit diesen Angeboten verringert die Cyberkriminellen den Zeit- und Arbeitsaufwand, den Angreifer benötigen, um eine Vielzahl von kriminellen und missbräuchlichen Handlungen online durchzuführen. Bis heute hat Storm-1152 laut diesem Microsoft-Beitrag etwa 750 Millionen gefälschte Microsoft-Konten zum Verkauf angeboten. Mit diesem Verkäufen konnte die Gruppe Einnahmen in Millionenhöhe erzielen.

Storm-1152 spielt eine wichtige Rolle im hochspezialisierten Cybercrime-as-a-Service-Ökosystem. Cyberkriminelle benötigen betrügerische Konten, um ihre weitgehend automatisierten kriminellen Aktivitäten zu unterstützen.

Am Donnerstag, den 7. Dezember 2023, erwirkte Microsoft eine gerichtliche Verfügung des Southern District of New York, um die in den USA ansässige Infrastruktur zu beschlagnahmen und die von Storm-1152 genutzten Websites offline zu nehmen. Im Rahmen der Aktion wurden folgende Angebote still gelegt:

• Hotmailbox.me, eine Website, die betrügerische Microsoft Outlook-Konten verkauft
• 1stCAPTCHA, AnyCAPTCHA und NoneCAPTCHA, Websites, die den Aufbau, die Infrastruktur und den Verkauf des CAPTCHA-Lösungsdienstes zur Umgehung der Bestätigung der Nutzung und der Einrichtung eines Kontos durch eine echte Person erleichtern. Diese Websites verkauften Tools zur Umgehung der Identitätsprüfung für andere Technologieplattformen
• Die Social-Media-Seiten, die aktiv für die Vermarktung dieser Dienste genutzt wurden

Im Rahmen der Aktion wurde auch die Identität der Akteure bestätigen, die die Operationen von Storm-1152 anführten. Es handelt sich um die in Vietnam ansässigen Personen Duong Dinh Tu, Linh Van Nguyễn (auch bekannt als Nguyễn Van Linh) und Tai Van Nguyen. Ermittlungen zeigen, dass diese Personen den Code für die illegalen Websites betrieben und geschrieben haben, detaillierte Schritt-für-Schritt-Anleitungen zur Nutzung ihrer Produkte in Form von Video-Tutorials veröffentlichten und Chat-Dienste zur Unterstützung der Nutzer ihrer betrügerischen Dienste anboten. Microsoft hat inzwischen eine Strafanzeige bei den US-Strafverfolgungsbehörden eingereicht, in der Hoffnung, diese Personen vor Gericht bringen zu können.