מרכז תגובה האבטחה של מיקרוסופט (Microsoft), ה-MSRC (ר”ת Microsoft Security Response Center), הכריז על ניטרול פרוטוקול ms-appinstaller URI המשמש להתקנת אפליקציות דרך הרשת, זאת לאחר שזוהה כי פרצת CVE-2021-43890 אפשרה לגורמים זדוניים להשתמש בו על מנת להדביק מחשבים בנוזקות כופר שונות.
לפי העדכון הרשמי, “שחקנים זדוניים” (threat actors) שונים, בהם Storm-0569, Storm-1113, Sangria Tempest, ו-Storm-1674, נצפו משתמשים בפרצת האבטחה החדשה, המאפשרת לזייף (spoofing) את השימוש בפרוטוקול להתקנת אפליקציות על המחשב ולהשתמש בו כווקטור תקיפה נגד משתמשים על ידי התקנה של תוכנות זדוניות במסווה של התקנת אפליקציה רגילה, דוגמת Zoom.
בשימוש תקין, הפרוטוקול מאפשר התקנת יישומים בצורה ישירה משרת מרוחק כחבילת MSIX, פורמט קובץ התקנה שנועד להחליף את MSI ו-AppX ולאפשר התקנת אפליקציות על המחשב ללא צורך של הורדת קובץ התקנה למחשב עצמו.
זה פיצ’ר שימושי במיוחד, ששימש את השחקנים הזדוניים שהשתמשו בהתקנות שהזדהו כרשמיות, כאשר מרבית המשתמשים לא הבחינו כי שם מפרסם התוכנה שונה מזה של יצרן התוכנה המקורית.
מיקרוסופט פרסמה מספר דוגמאות על השימוש בפרצה על ידי גורמים זדוניים:
- קבוצת Storm-0569 הפיצה נוזקת BATLOADER על ידי קידום אתרים שהתחזו לאתרי התקנת אפליקציות פופולריות כמו Zoom, Tableau, TeamViewer, ו-AnyDesk.
- קבוצת Storm-1113 הפיצה נוזקת EugenLoader באמצעות התחזות להתקנת אפליקציית Zoom, הנוזקה עצמה שימשה להתקנת נוזקות נוספות בהן Gozi, Redline stealer, IcedID, Smoke Loader, ועוד.
- קבוצת Sangria Tempest השתמשה בנוזקת ה-EugenLoader להתקנת דלת אחורית מסוג Carbanak להתקנת נוזקות נוספות.
- קבוצת Storm-1674 התחזתה לאתרי שירות מיקרוסופט כמו OneDrive ו-SharePoint אליהם הועברו משתמשים דרך שירות ה-Teams של החברה על מנת להתקין נוזקות שונות.
חולשת האבטחה פוגעת במשתמשי App Installer מגרסה 1.18.2691 עד 1.21.3421, כאשר כחלק מתיקון האבטחה ששחררה מיקרוסופט לשימוש בפרוטוקול ה-ms-appinstaller הפך להיות מבוטל כברירת מחדל.
