Microsoft, artık kurumsal yöneticilerin, Emotet’in kötü amaçlı Windows Uygulama Yükleyici paketleri sunmak için kötüye kullanmasının ardından devre dışı bırakılan MSIX ms-appinstaller protokol işleyicisini yeniden etkinleştirmesine izin veriyor.
App Installer (AppX Installer olarak da bilinir), kullanıcıların ilk önce yükleyicileri bilgisayarlarına indirmeden bir MSIX paketi veya App Installer dosyası kullanarak Windows uygulamalarını doğrudan bir web sunucusundan yüklemelerine olanak tanır.
Microsoft ms-appinstaller şemasını devre dışı bıraktı devam eden Emotet saldırılarının raporlarına yanıt olarak sıfır gün Windows AppX Installer kimlik sahtekarlığı güvenlik açığından yararlanmakullanıcıları Uygulama Yükleyici’yi kullanarak uygulama paketlerini yüklemeden önce cihazlarına indirmeye zorlar.
Microsoft Program Yöneticisi Dian Hartono, protokolün kapatıldığını duyururken, “Bu özelliğin birçok kurumsal kuruluş için kritik olduğunun farkındayız. Protokolün yeniden etkinleştirilmesinin güvenli bir şekilde yapılabilmesini sağlamak için kapsamlı testler yapmak için zaman ayırıyoruz.” Dedi. .
“BT yöneticilerinin protokolü yeniden etkinleştirmelerine ve kuruluşlarında protokolün kullanımını kontrol etmelerine olanak tanıyacak bir Grup İlkesi sunmaya çalışıyoruz.”
ms-appinstaller protokolü nasıl yeniden etkinleştirilir
Buna göre Hartono’dan bir güncellemeMicrosoft nihayet sorunu çözmeyi başardı ve artık yöneticilerin en son Uygulama Yükleyici sürümünü (1.17.10751.0) yükleyerek ve bir grup ilkesi etkinleştirerek protokol işleyicisini yeniden açmasına izin veriyor.
Uygulama Yükleyici güncellemesinin İnternet tabanlı yükleyici kullanılarak dağıtılamadığı sistemlerde, Microsoft ayrıca Microsoft İndirme Merkezi’nde çevrimdışı bir sürüm sağlar (İndirme: {link).
Uygulama Yükleyici özelliği, indirilip dağıtıldıktan sonra yeniden etkinleştirilecektir. Masaüstü Uygulaması Yükleyici politikası ve “Uygulama Yükleyici ms-appinstaller protokolünü etkinleştir” seçeneğini belirleyin.
Bunu, Bilgisayar Yapılandırması > Yönetim Şablonları > Windows Bileşenleri > Masaüstü Uygulaması Yükleyicisi’ne giderek Grup İlkesi Düzenleyicisi aracılığıyla yapabilirsiniz.
Hartono, “MSIX için ms-appinstaller protokolünü kullanmak için hem en son Uygulama Yükleyici uygulamasının hem de Masaüstü Uygulama Yükleyici ilkesinin etkinleştirilmesine ihtiyacınız olacak” diye ekledi.
ms-appinstaller kötü amaçlı yazılımları zorlamak için kötüye kullanıldı
Emotet, Adobe PDF yazılımı olarak kamufle edilmiş kötü amaçlı Windows AppX Installer paketlerini kullanmaya başladı Windows cihazlarına bulaşmak için Aralık 2021’in başından itibaren kimlik avı kampanyalarında.
Botnet’in kimlik avı e-postaları, alıcılara önceki konuşmalarla ilgili PDF’leri açma talimatı veren çalıntı yanıt zinciri e-postaları kullandı.
Ancak, PDF’yi açmak yerine, gömülü bağlantılar alıcıları Windows App Installer’ı başlatacak ve onlardan kötü amaçlı bir “Adobe PDF Bileşeni” yüklemelerini isteyecek şekilde yönlendiriyordu.

Gerçek bir Adobe uygulaması gibi görünse de, Uygulama Yükleyici, hedefler Yükle düğmesini tıkladıktan sonra Microsoft Azure’da barındırılan kötü amaçlı bir appxbundle indirdi ve yükledi.
Emotet’in Windows App Installer güvenlik açığını nasıl kötüye kullandığı da dahil olmak üzere daha fazla ayrıntıyı şu adreste bulabilirsiniz: önceki rapor Aralık kampanyasıyla ilgili.
Aynı sızdırma kusuru da şu amaçlarla kullanıldı: BazarLoader’ı dağıtın *.web.core.windows.net URL’leri aracılığıyla Microsoft Azure’da barındırılan kötü amaçlı paketleri kullanan kötü amaçlı yazılım.
Microsoft, “AppX yükleyicide Microsoft Windows’u etkileyen bir kimlik sahtekarlığı güvenlik açığı raporlarını araştırdık.” açıkladı.
“Microsoft, Emotet/Trickbot/Bazaloader olarak bilinen kötü amaçlı yazılım ailesini içeren özel hazırlanmış paketler kullanarak bu güvenlik açığından yararlanmaya çalışan saldırıların farkındadır.”