{"id":260604,"date":"2021-12-16T07:28:49","date_gmt":"2021-12-16T06:28:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260604"},"modified":"2021-12-16T10:06:19","modified_gmt":"2021-12-16T09:06:19","slug":"update-fixt-windows-appx-installer-0-day-schwachstelle-cve-2021-43890-emotet-schlupfloch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/16\/update-fixt-windows-appx-installer-0-day-schwachstelle-cve-2021-43890-emotet-schlupfloch\/","title":{"rendered":"Update fixt Windows AppX-Installer 0-day-Schwachstelle CVE-2021-43890 (Emotet-Schlupfloch)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch ein Nachtrag vom Dezember 2021-Patchday bez\u00fcglich des in Windows verwendeten AppX-Installers. Microsoft hat die Windows AppX Installer Spoofing-Schwachstelle CVE-2021-43890 durch ein Update geschlossen. Die Emotet-Gang hat versucht, diese Schwachstelle auszunutzen, um Systeme zu infizieren – ich hatte hier im Blog dar\u00fcber berichtet. Hier ein kurzer \u00dcberblick \u00fcber die Sachlage.<\/p>\n

<\/p>\n

AppX-Installer 0-day-Schwachstelle CVE-2021-43890<\/h2>\n

\"\"Ich hatte das Thema Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a> zum 2. Dezember 2021 in meinem Security Adventskalender versteckt: Der in Windows 10 und Windows 11 zum Installieren von Anwendungen und Apps verwendete AppX-Installer wies einen gravierenden Design-Fehler auf. Der nachfolgende Screenshot zeigt die Problematik der AppX-Installer 0-day-Schwachstelle CVE-2021-43890.<\/p>\n

\"Trusted<\/p>\n

Ein infizierter Emotet-Payload wird als Trusted App im Installer-Dialogfeld angezeigt. Die Aussage Trusted App <\/em>basierte ausschlie\u00dflich auf Angaben in einem Manifest, ohne dass irgend eine digitale Signatur ausgewertet wurde. Nur wenn der Nutzer auf den Link Trusted App <\/em>klickt, bekam er den in obigem Tweet sichtbaren Hinweis Publisher Identity check<\/em> mit dem wahrend Publisher der App angezeigt. Die Emotet-Gruppe nutzt dies aus, um den Dropper zur Installation der Ransomware als vertrauensw\u00fcrdige Windows-App in Mail-Anh\u00e4ngen zu verteilen.<\/p>\n

Es tut sich was beim AppX-Installer …<\/h2>\n

Bereits zum 14. Dezember 2021 hat Sicherheitsforscher Will Dormann den nachfolgenden Tweet<\/a> ver\u00f6ffentlicht, der den Hinweis enth\u00e4lt, dass die URI des ms-appinstaller:<\/em> durch Microsoft per Update gesperrt worden sei.<\/p>\n

<\/a><\/p>\n

Das Thema hat Dormann seit dem 1. Dezember 2021 in einer Serie von Tweets<\/a> aufbereitet. Melden sich Windows-Nutzer als Administrator an, konnte dies missbraucht werden. Denn bei ms-appinstaller: handelt es sich um ein URL-Protokoll \u00fcber das die AppX-Installation von fast \u00fcberall aus gestartet werden kann. Selbst das \u00d6ffenen eines Microsoft Office-Dokuments reichte.<\/p>\n

Dormann empfahl<\/a>, die\u00a0 Gruppenrichtlinie \"Prevent non-admin users from installing packaged Windows apps\" (Nicht-Administrator-Benutzer an der Installation von gepackten Windows-Anwendungen hindern) zu aktivieren oder den ms-appinstaller per Reg-Datei f\u00fcr alle Benutzer zu deaktivieren.<\/p>\n

Fix f\u00fcr CVE-2021-43890 in AppX-Installer<\/h2>\n

Zum 14. Dezember 2021 hat Microsoft den Sicherheitshinweis Windows AppX Installer Spoofing Vulnerability CVE-2021-43890<\/a> ver\u00f6ffentlicht, der den obigen Sachverhalt best\u00e4tigt und gleichzeitig die CVE offen legt. Dort hei\u00dft es, dass Microsoft Berichte \u00fcber eine Spoofing-Schwachstelle im AppX-Installationsprogramm von Windows untersucht habe. Microsoft sind Angriffe bekannt, die versuchen, diese Schwachstelle mit speziell gestalteten Paketen auszunutzen, die die als Emotet\/Trickbot\/Bazaloader bekannte Malware-Familie enthalten.<\/p>\n

Von Microsoft hei\u00dft es, dass ein Angreifer einen b\u00f6sartigen Anhang erstellen k\u00f6nnte, der in Phishing-Kampagnen verwendet wird. Der Angreifer m\u00fcsste dann den Benutzer dazu bringen, den speziell gestalteten Anhang zu \u00f6ffnen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, k\u00f6nnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.<\/p><\/blockquote>\n

Im Artikel zu CVE-2021-43890 empfiehlt Microsoft als Gegenma\u00dfnahme die Installation von Windows App-Paketen f\u00fcr Standardbenutzer und f\u00fcr Apps au\u00dferhalb des Microsoft Store per Gruppenrichtlinien (BlockNonAdminUserInstall<\/em> und AllowAllTrustedApps, <\/em>die Angabe AllowAllTrustedAppToInstall <\/em>von Microsoft im Advisory stimmt so nicht – siehe auch folgende Kommentare) zu sperren. Zudem sollte das\u00a0 ms-appinstaller<\/em>-Protokoll deaktiviert werden, um Anwendungen direkt von einer Website zu installieren.<\/p>\n

Sofern der Microsoft Store nicht per Gruppenrichtlinie blockiert wurde, sollte sich der AppX-Installer (Desktop-Installer) automatisch aktualisieren (siehe auch die folgenden Kommentare). Weiterhin hat Microsoft zum 14. Dezember 2021 den AppX-Installer (Desktop Installer) aktualisiert.<\/p>\n