Microsoft Threat Intelligence a remarqué que des acteurs malveillants comme Storm-0569, Storn-1113, Sangria Tempest et Storm-1674 utilisent le Schéma d’URI ms-appinstaller (App Installer) pour distribuer des logiciels malveillants. Microsoft a décidé de désactiver par défaut le gestionnaire de protocole ms-appinstaller pour protéger les clients contre les logiciels malveillants et les menaces associées.
Microsoft désactive le gestionnaire de protocole ms-appinstaller
Le gestionnaire de protocole ms-appinstaller de Microsoft est un protocole fiable qui peut contourner les mécanismes de sécurité tels que Microsoft Defender SmartScreen et les services de protection du navigateur intégrés de Edge. Les acteurs malveillants s’en sont rendu compte et ont commencé à utiliser le protocole ms-appinstaller pour distribuer des logiciels malveillants. Des groupes menaçants comme Storm-0569, Storm-1113, Storm-1674 et Sangria Tempest ont commencé à utiliser le format de fichier MSIX pour distribuer des ransomwares.
Ils enregistrent de faux noms de domaine qui semblent être des sources officielles et fiables et téléchargent des programmes d’installation pour les programmes les plus utilisés comme Zoom, Tableau, TeamViewer et Microsoft Teams. Ils ont même usurpé les pages de destination de OneDrive et SharePoint via des messages Teams. Les acteurs malveillants participent à des discussions et à des réunions en tête-à-tête et incitent les cibles à installer des logiciels malveillants. Microsoft l’a remarqué depuis novembre 2023. Comme ces attaques de logiciels malveillants et de ransomwares entraînent des pertes financières pour les cibles/victimes, Microsoft a désactivé par défaut le gestionnaire de protocole ms-appinstaller.
Le gestionnaire de schéma d’URI ms-appinstaller est désactivé par défaut dans la version 1.21.3421.0 du programme d’installation de l’application. Pour réduire l’impact de la menace, Microsoft a donné quelques conseils sur son blog. Ils sont:
- Pilotez et déployez des méthodes d’authentification résistantes au phishing pour les utilisateurs.
- Mettez en œuvre le renforcement de l’authentification par accès conditionnel afin d’exiger une authentification résistante au phishing pour les employés et les utilisateurs externes pour les applications critiques.
- Apprenez aux utilisateurs de Microsoft Teams à vérifier le marquage « Externe » lors des tentatives de communication provenant d’entités externes, à être prudents quant à ce qu’ils partagent et à ne jamais partager les informations de leur compte ni autoriser les demandes de connexion par chat.
- Appliquez les meilleures pratiques de sécurité de Microsoft pour Microsoft Teams afin de protéger les utilisateurs de Teams.
- Apprenez aux utilisateurs à examiner l’activité de connexion et à marquer les tentatives de connexion suspectes comme « Ce n’était pas moi ».
- Encouragez les utilisateurs à utiliser Microsoft Edge et d’autres navigateurs Web prenant en charge Microsoft Defender SmartScreen, qui identifie et bloque les sites Web malveillants, notamment les sites de phishing, les sites frauduleux et les sites contenant des exploits et hébergeant des logiciels malveillants.
- Apprenez aux utilisateurs à utiliser le navigateur d’URL du navigateur pour valider qu’en cliquant sur un lien dans les résultats de recherche, ils sont arrivés à un domaine légitime attendu.
- Éduquez les utilisateurs pour qu’ils vérifient que le logiciel en cours d’installation est censé être publié par un éditeur légitime.
- Configurez Microsoft Defender pour Office 365 pour revérifier les liens au clic. Safe Links permet l’analyse et la réécriture des URL des messages électroniques entrants dans le flux de messagerie, ainsi que la vérification au moment du clic des URL et des liens dans les messages électroniques, dans d’autres applications Microsoft Office telles que Teams et dans d’autres emplacements tels que SharePoint Online. L’analyse des liens sécurisés s’ajoute à la protection anti-spam et anti-malware habituelle dans les messages électroniques entrants dans Microsoft Exchange Online Protection (EOP). L’analyse des liens sécurisés peut aider à protéger votre organisation contre les liens malveillants utilisés dans le phishing et d’autres attaques.
- Activez les règles de réduction de la surface d’attaque pour empêcher les techniques d’attaque courantes :
- Utilisez une protection avancée contre les ransomwares
- Bloquer l’exécution des fichiers exécutables à moins qu’ils ne répondent à un critère de prévalence, d’âge ou de liste de confiance
- Activer la protection PUA en mode bloc
Microsoft a conseillé aux entreprises qui ne peuvent pas déployer immédiatement la dernière version d’App Installer de désactiver le protocole en définissant la stratégie de groupe. Activer le protocole MSAppInstaller à Désactivé.