Microsoft sekarang mengizinkan admin perusahaan untuk mengaktifkan kembali pengendali protokol MS-appinstaller MSIX yang dinonaktifkan setelah Emotet menyalahgunakannya untuk mengirimkan paket Windows App Installer yang berbahaya.
App Installer (juga dikenal sebagai Installer AppX) memungkinkan pengguna untuk menginstal aplikasi Windows langsung dari server web menggunakan paket MSIX atau file App Installer tanpa terlebih dahulu mengunduh installer ke komputer mereka.
Microsoft menonaktifkan skema ms-appinstaller sebagai tanggapan atas laporan serangan Emotet yang sedang berlangsung yang mengeksploitasi kerentanan spoofing Windows AppX Installer zero-day, memaksa pengguna untuk mengunduh paket aplikasi ke perangkat mereka sebelum menginstalnya menggunakan App Installer.
"Kami menyadari bahwa fitur ini sangat penting bagi banyak organisasi perusahaan. Kami meluangkan waktu untuk melakukan pengujian menyeluruh untuk memastikan bahwa pengaktifan kembali protokol dapat dilakukan dengan cara yang aman," kata Manajer Program Microsoft Dian Hartono saat mengumumkan penghentian protokol.
"Kami sedang mempertimbangkan untuk memperkenalkan Kebijakan Grup yang memungkinkan administrator TI untuk mengaktifkan kembali protokol dan mengontrol penggunaannya dalam organisasi mereka."
App Installer (juga dikenal sebagai Installer AppX) memungkinkan pengguna untuk menginstal aplikasi Windows langsung dari server web menggunakan paket MSIX atau file App Installer tanpa terlebih dahulu mengunduh installer ke komputer mereka.
Microsoft menonaktifkan skema ms-appinstaller sebagai tanggapan atas laporan serangan Emotet yang sedang berlangsung yang mengeksploitasi kerentanan spoofing Windows AppX Installer zero-day, memaksa pengguna untuk mengunduh paket aplikasi ke perangkat mereka sebelum menginstalnya menggunakan App Installer.
"Kami menyadari bahwa fitur ini sangat penting bagi banyak organisasi perusahaan. Kami meluangkan waktu untuk melakukan pengujian menyeluruh untuk memastikan bahwa pengaktifan kembali protokol dapat dilakukan dengan cara yang aman," kata Manajer Program Microsoft Dian Hartono saat mengumumkan penghentian protokol.
"Kami sedang mempertimbangkan untuk memperkenalkan Kebijakan Grup yang memungkinkan administrator TI untuk mengaktifkan kembali protokol dan mengontrol penggunaannya dalam organisasi mereka."
Cara mengaktifkan kembali protokol ms-appinstaller
Menurut pembaruan dari Hartono, Microsoft akhirnya berhasil menangani masalah ini, dan sekarang memungkinkan admin untuk mengaktifkan kembali pengendali protokol dengan menginstal versi App Installer terbaru (1.17.1751.0) dan mengaktifkan kebijakan grup.
Pada sistem di mana pembaruan App Installer tidak dapat disebarkan menggunakan Installer berbasis Internet, Microsoft juga menyediakan versi offline di Pusat Unduhan Microsoft (tautan unduhan).
Fitur App Installer akan diaktifkan kembali setelah mengunduh dan menerapkan kebijakan Desktop App Installer dan memilih "Enable App Installer ms-appinstaller protocol".
Anda dapat melakukan ini melalui Editor Kebijakan Grup dengan masuk ke Computer Configuration > Administrative Templates > Windows Components > Desktop App Installer.
"Anda memerlukan aplikasi App Installer terbaru dan kebijakan Dekstop App Installer untuk diaktifkan agar dapat menggunakan protokol ms-appinstaller untuk MSIX," tambah Hartono.
Pada sistem di mana pembaruan App Installer tidak dapat disebarkan menggunakan Installer berbasis Internet, Microsoft juga menyediakan versi offline di Pusat Unduhan Microsoft (tautan unduhan).
Fitur App Installer akan diaktifkan kembali setelah mengunduh dan menerapkan kebijakan Desktop App Installer dan memilih "Enable App Installer ms-appinstaller protocol".
Anda dapat melakukan ini melalui Editor Kebijakan Grup dengan masuk ke Computer Configuration > Administrative Templates > Windows Components > Desktop App Installer.
"Anda memerlukan aplikasi App Installer terbaru dan kebijakan Dekstop App Installer untuk diaktifkan agar dapat menggunakan protokol ms-appinstaller untuk MSIX," tambah Hartono.
ms-appinstaller disalahgunakan untuk mendorong malware
Emotet mulai menggunakan paket Windows AppX Installer berbahaya yang disamarkan sebagai perangkat lunak Adobe PDF untuk menginfeksi perangkat Windows dalam kampanye phishing mulai awal Desember 2021.
Email phishing botnet menggunakan reply-chain emails curian yang menginstruksikan penerima untuk membuka PDF yang terkait dengan percakapan sebelumnya.
Namun, alih-alih membuka PDF, tautan yang disematkan mengarahkan penerima untuk meluncurkan Windows App Installer dan meminta mereka untuk menginstal "Komponen PDF Adobe" yang berbahaya.Meskipun terlihat seperti aplikasi Adobe yang sah, App Installer mengunduh dan menginstal bundel aplikasi berbahaya yang dihosting di Microsoft Azure setelah target mengklik tombol Instal.
Anda dapat menemukan detail selengkapnya, termasuk cara Emotet menyalahgunakan kerentanan Windows App Installer, dalam laporan kami sebelumnya terkait kampanye Desember.
masalah spoofing yang sama juga dieksploitasi untuk mendistribusikan malware BazarLoader menggunakan paket berbahaya yang dihosting di Microsoft Azure melalui URL *.web.core.windows.net.
"Kami telah menyelidiki laporan kerentanan spoofing di AppX Installer yang memengaruhi Microsoft Windows," Jelas Microsoft.
"Microsoft menyadari serangan yang mencoba mengeksploitasi kerentanan ini dengan menggunakan paket yang dibuat khusus yang menyertakan Malware Family yang dikenal sebagai Emotet/Trickbot/Bazaloader."
Email phishing botnet menggunakan reply-chain emails curian yang menginstruksikan penerima untuk membuka PDF yang terkait dengan percakapan sebelumnya.
Namun, alih-alih membuka PDF, tautan yang disematkan mengarahkan penerima untuk meluncurkan Windows App Installer dan meminta mereka untuk menginstal "Komponen PDF Adobe" yang berbahaya.Meskipun terlihat seperti aplikasi Adobe yang sah, App Installer mengunduh dan menginstal bundel aplikasi berbahaya yang dihosting di Microsoft Azure setelah target mengklik tombol Instal.
Anda dapat menemukan detail selengkapnya, termasuk cara Emotet menyalahgunakan kerentanan Windows App Installer, dalam laporan kami sebelumnya terkait kampanye Desember.
masalah spoofing yang sama juga dieksploitasi untuk mendistribusikan malware BazarLoader menggunakan paket berbahaya yang dihosting di Microsoft Azure melalui URL *.web.core.windows.net.
"Kami telah menyelidiki laporan kerentanan spoofing di AppX Installer yang memengaruhi Microsoft Windows," Jelas Microsoft.
"Microsoft menyadari serangan yang mencoba mengeksploitasi kerentanan ini dengan menggunakan paket yang dibuat khusus yang menyertakan Malware Family yang dikenal sebagai Emotet/Trickbot/Bazaloader."



Post a Comment
Post a Comment