{"id":289716,"date":"2023-12-29T01:55:37","date_gmt":"2023-12-29T00:55:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289716"},"modified":"2023-12-29T09:18:29","modified_gmt":"2023-12-29T08:18:29","slug":"microsoft-sicherheitssplitter-cve-2021-43890-ausnutzbar-app-installer-protokoll-deaktiviert-storm-1152-ausgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/29\/microsoft-sicherheitssplitter-cve-2021-43890-ausnutzbar-app-installer-protokoll-deaktiviert-storm-1152-ausgeschaltet\/","title":{"rendered":"Windows: CVE-2021-43890 ausnutzbar: App-Installer-Protokoll deaktiviert; Storm-1152 ausgeschaltet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich packe zum Jahresende noch einige \"Gruselgeschichten\" rund um das Thema \"Sicherheit in Microsoft-Produkten\" zusammen. So hat Microsoft den MSXI-App-Installer-Protokoll deaktiviert, weil dieses von Malware-Gruppen missbraucht wurde. Dann gab es die Schwachstelle CVE-2021-43890, die l\u00e4ngst gefixt zu sein schien, jetzt aber in freier Wildbahn ausgenutzt wird. Und Microsoft hat einen Gateway-Dienste, der von Cyberkriminellen der Gruppe Storm-1152 genutzt wurde, stilllegen lassen.<\/p>\n

<\/p>\n

App-Installer-Protokoll deaktiviert<\/h2>\n

\"\"Das von Microsoft entwickelte ms-appinstaller<\/em> URI (Uniform Resource Identifier) Schema (Protokoll) erm\u00f6glicht es ab Windows 10 (v1607), Apps direkt von einem Webserver herunterzuladen und zu installieren. Auf dieser Microsoft-Seite<\/a> hei\u00dft es nun, dass dieses URI-Schema jetzt standardm\u00e4\u00dfig deaktiviert sei. Das URI-Schema kann jedoch von einem Administrator per Gruppenrichtlinie aktiviert werden.<\/p>\n

\"ms-appinstaller<\/p>\n

Die Erkl\u00e4rung f\u00fcr diesen Schritt findet sich im Blog-Beitrag Financially motivated threat actors misusing App Installer<\/a> vom 28. Dezember 2023.<\/p>\n

\"Attacks<\/a><\/p>\n

Seit Mitte November 2023 beobachtet Microsoft Threat Intelligence, dass Bedrohungsakteure (teilweise mit finanziellen Adressen) wie Storm-0569, Storm-1113, Sangria Tempest und Storm-1674, das ms-appinstaller URI-Schema (App Installer) zur Verbreitung von Malware nutzen. Die Angreifer missbrauchen die aktuelle Implementierung des ms-appinstaller<\/em>-Protokoll-Handlers als Zugriffsvektor f\u00fcr Malware, was zur Verbreitung von Ransomware f\u00fchren kann.<\/p>\n

Mehrere Cyberkriminelle verkaufen laut Microsoft auch ein Malware-Kit als Service, das das MSIX-Dateiformat und den ms-appinstaller<\/em>-Protokoll-Handler missbraucht. Diese Bedrohungsakteure verbreiten signierte b\u00f6sartige MSIX-Anwendungspakete \u00fcber Websites, die \u00fcber b\u00f6sartige Werbung f\u00fcr legitime popul\u00e4re Software aufgerufen werden. Ein zweiter Phishing-Vektor \u00fcber Microsoft Teams wird ebenfalls von Storm-1674 genutzt.<\/p>\n

Die Angreifer haben sich laut Microsoft wahrscheinlich f\u00fcr den ms-appinstaller<\/em>-Protokoll-Handler-Vektor entschieden, weil damit Mechanismen umgangen werden k\u00f6nnen, die die Benutzer vor Malware sch\u00fctzen sollen. Dazu z\u00e4hlen z. B. der Microsoft Defender SmartScreen und die integrierte Browserwarnungen f\u00fcr Downloads von ausf\u00fchrbaren Dateiformaten.<\/p>\n

Als Reaktion auf diese Erkenntnisse wurde das ms-appinstaller<\/em>-Protokoll-Handler standardm\u00e4\u00dfig deaktiviert. Der Microsoft-Beitrag<\/a> enth\u00e4lt eine detaillierte Beschreibung des Sachverhalts sowie Empfehlungen f\u00fcr Administratoren rund um das Thema.<\/p>\n

War CVE-2021-43890 nicht geschlossen?<\/h2>\n

Als ich das Thema ms-appinstaller<\/em>-Protokoll wird deaktiviert gelesen habe, klingelte was bei mir im Hinterkopf \"gab es da nicht ein Update f\u00fcr die Schwachstelle CVE-2021-43890\"? Und in der Tat wurde ich im Blog-Beitrag Microsoft deaktiviert wegen Emotet & Co. MSIX ms-appinstaller Protokoll-Handler in Windows (Feb. 2022)<\/a> f\u00fcndig. Nachdem Ransomware wie Emotet oder BazarLoader den MSIX ms-appinstaller<\/em> Protokoll-Handler missbrauchten, hat Microsoft diesen seinerzeit \"vorerst\" in Windows als Schutz deaktiviert. War schon die zweite Aktion, nachdem an dieser Stelle im Dezember 2021 bereits CVE-2021-43890 gepatcht wurde.<\/p>\n

\"History<\/a><\/p>\n

Mir ist obiger Tweet<\/a> von Will Dormann untergekommen. Dormann weist darauf hin, dass die Schwachstelle CVE-2021-43890 von Microsoft im Dezember 2021 gepatcht wurde. Jetzt hei\u00dft es im Dezember 2023, dass das ms-appinstaller<\/em> Protokoll missbraucht wurde. Laut Dormann wurde der Patch f\u00fcr die Schwachstelle CVE-2021-43890 im April 2023 versehentlich wieder beseitigt, das Ganze war also wieder angreifbar. Und nun wurde das ms-appinstaller<\/em>-Protokoll halt wieder deaktiviert.<\/p>\n

Wann und wie hat Microsoft das gemacht?<\/h2>\n

Erg\u00e4nzung:<\/strong> An dieser Stelle war mir unklar, wann und wie das ms-appinstaller<\/em>-Protokoll letztendlich deaktiviert wurde. Die Tage gab es keine Updates – ich tippte darauf, dass die Deaktivierung mit den Sicherheitsupdates vom 12. Dezember 2023 erfolgte. Zumindest findet sich auf MS Answers der Beitrag Why has the ms-appinstaller protocol been disabled?<\/a> vom 15. Dezember 2023, was passen w\u00fcrde.<\/p>\n

\"MSXI<\/p>\n

Die betroffene Person hat obiges Bild gepostet und schreibt, dass der dies ab dem 13. Dezember 2023 zu sehen bekam. Auf GitHub gibt es dann noch diese Zusammenfassung<\/a>. Zumindest ist jetzt erkl\u00e4rt, warum der Protokoll-Handler deaktiviert wurde. Weiterhin gibt es einen Nachtrag vom 4. Dezember 2023 auf der MicrosoftDosc-GitHub-Seite<\/a> f\u00fcr MSIX, wo die Deaktivierung erw\u00e4hnt wird.<\/p>\n

In oben referenzierten GitHub-Beitrag erw\u00e4hnt Giovanni Bozzano<\/a>, dass mit dem Release des MSXI-App-Installers Version 1.21.3421.0 zum 12. Dezember 2023 das Protokoll erneut deaktiviert worden sei. Und es gibt den Artikel Microsoft addresses App Installer abuse<\/a> des MSRC vom 28. Dezember 2023, der Administratoren die Installation der MSXI App Installer Version 1.21.3421.0 empfiehlt, um CVE-2021-43890<\/a> zu schlie\u00dfen.<\/p>\n

In der Techcommunity gibt es in diesem Artikel<\/a> \u00fcbrigens noch einen Nachtrag vom 5. August 2022, der besagt, dass der Fix zur Aktivierung des ms-appinstaller<\/em> Protokoll-Handlers in Windows 11 Insider Preview Build 25147 f\u00fcr den Dev Channel ausgerollt wurde. Nach diesem Zeitpunkt wurde die Aktivierung wohl in die Windows 10\/11 Produktiv-Versionen ausgerollt. Der Techcommunity-Beitrag enth\u00e4lt auch die Informationen, wie der Protokoll-Handler per Gruppenrichtlinien aktiviert und deaktiviert werden kann.<\/p><\/blockquote>\n

Damit ist gekl\u00e4rt, wann und warum die Abschaltung passiert ist. Microsoft in Reinkultur.<\/p>\n

Gateway-Dienste von Cyberkriminellen (Storm-1152) abgeschaltet<\/h2>\n

Auch diese Aktion ist mir bereits vor einigen Tagen untergekommen. Betr\u00fcgerische Online-Konten sind das Einfallstor f\u00fcr eine Vielzahl von Cyberkriminalit\u00e4t, darunter Massen-Phishing, Identit\u00e4tsdiebstahl und -betrug sowie Distributed-Denial-of-Service-Angriffe (DDoS). Die Cybergruppe Storm-1152 betrieb illegale Websites und Social-Media-Seiten, auf denen gef\u00e4lschte Microsoft-Konten und Tools zur Umgehung von Identit\u00e4ts\u00fcberpr\u00fcfungssoftware auf bekannten Technologieplattformen verkauft werden.<\/p>\n

Mit diesen Angeboten verringert die Cyberkriminellen den Zeit- und Arbeitsaufwand, den Angreifer ben\u00f6tigen, um eine Vielzahl von kriminellen und missbr\u00e4uchlichen Handlungen online durchzuf\u00fchren. Bis heute hat Storm-1152 laut diesem Microsoft-Beitrag<\/a> etwa 750 Millionen gef\u00e4lschte Microsoft-Konten zum Verkauf angeboten. Mit diesem Verk\u00e4ufen konnte die Gruppe Einnahmen in Millionenh\u00f6he erzielen.<\/p>\n

Storm-1152 spielt eine wichtige Rolle im hochspezialisierten Cybercrime-as-a-Service-\u00d6kosystem. Cyberkriminelle ben\u00f6tigen betr\u00fcgerische Konten, um ihre weitgehend automatisierten kriminellen Aktivit\u00e4ten zu unterst\u00fctzen.<\/p>\n

Am Donnerstag, den 7. Dezember 2023, erwirkte Microsoft eine gerichtliche Verf\u00fcgung des Southern District of New York, um die in den USA ans\u00e4ssige Infrastruktur zu beschlagnahmen und die von Storm-1152 genutzten Websites offline zu nehmen. Im Rahmen der Aktion wurden folgende Angebote still gelegt:<\/p>\n