{"id":262281,"date":"2022-02-05T04:59:04","date_gmt":"2022-02-05T03:59:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262281"},"modified":"2022-02-05T13:03:39","modified_gmt":"2022-02-05T12:03:39","slug":"microsoft-deaktiviert-msix-ms-appinstaller-protokoll-handler-in-windows-feb-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/05\/microsoft-deaktiviert-msix-ms-appinstaller-protokoll-handler-in-windows-feb-2022\/","title":{"rendered":"Microsoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Nachdem Ransomware wie Emotet oder BazarLoader den MSIX ms-appinstaller Protokoll-Handler missbrauchten, hat Microsoft nun erneut reagiert. Der komplette MSIX ms-appinstaller Protokoll-Handler wurde vorerst in Windows – quasi als Schutz vor Emotet, BazarLoader oder \u00e4hnlicher Malware – deaktiviert. Das ist jetzt schon die zweite Ma\u00dfnahme, nachdem im Dezember 2021 gepatcht wurde.<\/p>\n

<\/p>\n

AppX-Installer-Schwachstelle CVE-2021-43890<\/h2>\n

\"\"Der in Windows 10 und Windows 11 zum Installieren von Anwendungen und Apps verwendete AppX-Installer wies einen gravierenden Design-Fehler auf. Dadurch konnte Malware wie Emotet oder BazarLoader die Nutzer austricksen und einen sauberen Download von Microsoft vorgaukeln. Der nachfolgende Screenshot zeigt die Problematik der AppX-Installer Schwachstelle CVE-2021-43890.<\/p>\n

\"Trusted<\/a><\/p>\n

Ein infizierter Emotet-Payload wird als Trusted App im Installer-Dialogfeld angezeigt. Die Aussage Trusted App <\/em>basierte ausschlie\u00dflich auf Angaben in einem Manifest, ohne dass irgend eine digitale Signatur ausgewertet wurde. Nur wenn der Nutzer auf den Link Trusted App <\/em>klickt, bekam er den in obigem Tweet sichtbaren Hinweis Publisher Identity check<\/em> mit dem wahrend Publisher der App angezeigt. Die Emotet-Gruppe nutzt dies aus, um den Dropper zur Installation der Ransomware als vertrauensw\u00fcrdige Windows-App in Mail-Anh\u00e4ngen zu verteilen. Ich hatte das Thema Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a> zum 2. Dezember 2021 in meinem Security Adventskalender aufgegriffen.<\/p>\n

Fix f\u00fcr CVE-2021-43890 im Dezember 2021<\/h2>\n

Bereits zum 14. Dezember 2021 hat Microsoft die URI des ms-appinstaller:<\/em> per Update gesperrt und den Sicherheitshinweis Windows AppX Installer Spoofing Vulnerability CVE-2021-43890<\/a> ver\u00f6ffentlicht. Dort hei\u00dft es, dass Microsoft Berichte \u00fcber eine Spoofing-Schwachstelle im AppX-Installationsprogramm von Windows untersucht habe. Microsoft sind Angriffe bekannt, die versuchen, diese Schwachstelle mit speziell gestalteten Paketen auszunutzen, die die als Emotet\/Trickbot\/Bazaloader bekannte Malware-Familie enthalten.<\/p>\n

Im Artikel zu CVE-2021-43890 empfiehlt Microsoft als Gegenma\u00dfnahme die Installation von Windows App-Paketen f\u00fcr Standardbenutzer und f\u00fcr Apps au\u00dferhalb des Microsoft Store zu blockieren. Ich hatte Details samt Download-Links f\u00fcr die betreffenden AppX-Installer (Desktop-Installer) im Blog-Beitrag Update fixt Windows AppX-Installer 0-day-Schwachstelle CVE-2021-43890 (Emotet-Schlupfloch)<\/a> aufgegriffen.<\/p>\n

Microsoft deaktiviert MSIX Protokoll-Handler<\/h2>\n

Es schaut so aus, als ob viele Administratoren da nicht reagiert und das Update f\u00fcr den AppX-Installer (Desktop-Installer) nicht installiert haben. Jedenfalls hat Microsoft jetzt reagiert und den MSIX ms-appinstaller Protokoll-Handler in Windows deaktiviert. Der nachfolgende Tweet<\/a> weist auf den entsprechenden Techcommunity-Beitrag Disabling the MSIX ms-appinstaller protocol handler<\/a> hin.<\/p>\n

\"Windows<\/a><\/p>\n

Dort erw\u00e4hnt Microsoft den obigen Sachverhalt, dass man k\u00fcrzlich dar\u00fcber informiert worden sei, dass das ms-appinstaller-Protokoll f\u00fcr MSIX auf b\u00f6sartige Weise verwendet werden kann. Diese Spoofing-Schwachstelle CVE-2021-43890 k\u00f6nnte von einem Angreifer genutzt werden, um einen sicheren App Installer vorzuspiegeln, und den Benutzer dazu zu bringen, das Malware-Paket zu installieren.<\/p>\n

Microsoft arbeitet laut Aussage aktiv an der Behebung dieser Sicherheitsl\u00fccke. Dazu wurde das ms-appinstaller-Schema (Protokoll) deaktiviert. Dies bedeutet, dass App Installer nicht in der Lage sein wird, eine Anwendung direkt von einem Webserver zu installieren. Stattdessen m\u00fcssen die Benutzer die App zun\u00e4chst auf ihr Ger\u00e4t herunterladen und dann das Paket mit dem App-Installer installieren. Dies kann die Downloadgr\u00f6\u00dfe f\u00fcr einige Pakete erh\u00f6hen.<\/p>\n

Hat Konsequenzen f\u00fcr Anbieter, die ms-appinstaller-Protokoll auf ihrer Website verwenden, denn das funktioniert nun nicht mehr. Microsoft empfiehlt, den Link zu Ihrer Anwendung zu aktualisieren und \"ms-appinstaller:?source=\" zu entfernen, damit das MSIX-Paket oder die App-Installer-Datei auf den Computer des Benutzers heruntergeladen werden kann. Weitere Erkl\u00e4rungen finden sich im Techcommunity-Artikel<\/a>. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem Ransomware wie Emotet oder BazarLoader den MSIX ms-appinstaller Protokoll-Handler missbrauchten, hat Microsoft nun erneut reagiert. Der komplette MSIX ms-appinstaller Protokoll-Handler wurde vorerst in Windows – quasi als Schutz vor Emotet, BazarLoader oder \u00e4hnlicher Malware – deaktiviert. Das ist jetzt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-262281","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262281"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262281\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}