Microsoft a annoncé la semaine dernière qu’il désactivait temporairement le gestionnaire de protocole MSIX ms-appinstaller dans Windows suite à la preuve qu’une vulnérabilité de sécurité dans le composant d’installation a été exploitée par des acteurs malveillants pour diffuser des logiciels malveillants tels qu’Emotet, TrickBot et Bazaloader.
MSIX, basé sur une combinaison des technologies d’installation .msi, .appx, App-V et ClickOnce, est un format de package d’application Windows universel qui permet aux développeurs de distribuer leurs applications pour le système d’exploitation de bureau et autres plateformes. ms-appinstaller, en particulier, est conçu pour aider les utilisateurs installer une application Windows en cliquant simplement sur un lien sur un site Web.
Mais une vulnérabilité d’usurpation d’identité découverte dans Windows App Installer (CVE-2021-43890, score CVSS : 7,1) signifiait qu’il pouvait être amené à installer une application malveillante qui n’était jamais destinée à être installée par l’utilisateur via une pièce jointe malveillante utilisée dans les campagnes de phishing.
Bien que Microsoft ait publié des correctifs initiaux pour corriger cette faille dans le cadre de ses mises à jour du mardi de décembre 2021, la société a maintenant désactivé le schéma ms-appinstaller pendant qu’il s’efforce de combler la faille de sécurité et d’empêcher complètement toute exploitation ultérieure.
« Cela signifie que App Installer ne pourra pas installer une application directement à partir d’un serveur Web », Dian Hartono mentionné. « Au lieu de cela, les utilisateurs devront d’abord télécharger l’application sur leur appareil, puis installer le package avec App Installer. Cela peut augmenter la taille de téléchargement de certains packages. »
Avec la prise en charge du protocole par Microsoft, la société recommande également aux développeurs de mettre à jour les liens de téléchargement d’applications sur leurs sites Web en supprimant les schémas « ms-appinstaller:?source= » afin que le package MSIX ou le fichier .appinstaller puisse être téléchargé.
