Microsoft bloquea la instalación web de sus propios archivos de instalación de aplicaciones

by Paul patito

A fines del año pasado (noviembre de 2021), informamos sobre un campaña inusual de correos electrónicos fraudulentos advirtiendo a los destinatarios que estaban en un gran problema en el trabajo.

Si vio uno de estos, probablemente lo recuerde: un cliente había presentado una queja formal y la empresa se apresuraba a celebrar una reunión para investigar su supuesta mala conducta...

…por lo que se esperaba que siguiera un enlace para descargar y leer la denuncia en su contra.

Aquí en Sophos, muchos de nosotros estábamos en la lista de spam y recibimos correos electrónicos de este tipo:

Haga clic en la imagen para el artículo completo.

¡Estás despedido!

Posteriormente, algunos de nosotros recibimos mensajes de seguimiento que nos decían que técnicamente ya no teníamos problemas, por la razón bastante dramática de que nos habían despedido; nuestras "cartas de rescisión" se adjuntaron, una vez más, como un enlace de descarga de documentos.

Las descargas parecían archivos PDF:

Pero los enlaces de descarga no eran convencionales. http:// or https:// descargas; en cambio, confiaron en un vínculo inusual que comenzaba ms-appinstaller://, que (en Windows, al menos), activa el sistema de instalación de aplicaciones de Microsoft para orquestar el proceso de descarga.

Este ms-appinstaller El protocolo no solo lo lleva por un camino visual muy diferente al de una descarga web tradicional, sino que también refleja el tipo de experiencia que solo habría visto antes, si es que la hubiera visto, al usar Microsoft Store.

En particular, el proceso insiste en un paquete de aplicaciones firmado digitalmente (por liar, pensar APK de Android or paquete Linux) y, por lo tanto, comienza con una ventana emergente tranquilizadora, aunque no familiar, que le asegura, con una marca verde de aspecto seguro (marca de verificación), que se trata de un Aplicación de confianza, aparentemente codificado por un proveedor que conoce:

Tenga en cuenta que en la captura de pantalla anterior, el nombre del editor (dado de forma fraudulenta como "Adobe Inc.") es solo una cadena de texto en el paquete de la aplicación; para "verificar" al firmante, debe hacer clic en el texto azul Aplicación de confianza].

Desafortunadamente, el nombre del firmante no dice mucho, o al menos no el año pasado cuando vimos por primera vez este truco para distribuir malware "confiable".

La firma de Rogue es fácil

En el ejemplo anterior, el firmante de la aplicación afirmó ser una empresa de contabilidad y era una empresa registrada en el Reino Unido.

Pero si lo hubiera perseguido más allá de eso, habría encontrado una empresa que en realidad nunca había hecho ningún negocio, estaba ubicada en una dirección poco probable y estaba a punto de ser cancelada de todos modos.

En pocas palabras, basado en un registro de empresa en línea y aparentemente nunca utilizado para el real que probablemente costó solo unas pocas libras (y quién sabe si los atacantes realmente pagaron algo por ello, o simplemente obtuvieron acceso a los datos de la empresa a través de ¿un hack anterior o una filtración de datos?), los ciberdelincuentes pudieron:

Adquirir una clave de firma "confiable" y utilícelo para firmar paquetes de instaladores de aplicaciones.
Distribuir un paquete de instalador de aplicaciones que se presentó como una aplicación de confianza, muy parecido a una aplicación de la tienda de Microsoft seleccionada.
Activar la instalación a través del proceso Appinstaller.exe, no más sospechosamente a través de un navegador.
Instale y active numerosas aplicaciones sin firmar bajo el visto bueno del archivo de paquete de nivel superior firmado y supuestamente confiable.

En el ejemplo de correo electrónico de que te han despedido que encontramos aquí en Sophos, los proveedores de la "aplicación de confianza" resultaron ser los Pandilla de malware BazarLoader.

Por lo tanto, si el proceso de instalación similar a Microsoft Store de aspecto legítimo fuera suficiente para ganarse su confianza, habría terminado con malware de puerta trasera persistente, lo que a menudo se conoce como un robot o zombi.

El bot de puerta trasera comenzó filtrando información de configuración del sistema a los delincuentes y luego esperó instrucciones remotas sobre qué nuevo malware descargar y ejecutar a continuación.

Los ciberdelincuentes con acceso genérico de ejecución remota de código (RCE) como este suelen utilizar su computadora como un peón en la economía clandestina, "alquilándola" (posiblemente repetidamente) a otros delincuentes para cometer más delitos cibernéticos, ya sea contra su computadora o a través de su computadora. , o ambos.

A veces, lamentablemente, la víctima solo detecta este tipo de zombificación cuando los operadores del bot "alquilan" la computadora infectada (o la usan ellos mismos) una última vez para una ronda final de malware que no puede evitar notar...

…típicamente, un ataque de ransomware.

Más seguridad implícita que un certificado HTTPS

Tenga en cuenta que el nivel de creencia en ciberseguridad que está invitado a adoptar en el caso de un ms-appinstaller:// descarga es significativamente mayor que la inferencia de seguridad cibernética que se espera que haga de un regular https:// certificado web.

Certificados web, que utilizan el TLS (Transport Layer Security) para encriptar y verificar la integridad de los datos intercambiados en una sesión HTTP entre un cliente y el servidor, no diga nada sobre cuán confiable es realmente el sitio en el otro extremo.

De hecho, los fabricantes de navegadores han hecho todo lo posible durante la última década para ajustar las palabras, los íconos y los colores utilizados en el navegador para describir un sitio protegido por HTTPS.

Después de todo, TLS, por diseño y por definición, proporciona nivel de transporte seguridad, poniendo así la S (por seguro) en HTTP (abreviatura de hipertexto transferir protocolo), pero no tiene como objetivo ni pretende realizar ninguna verificación o evaluación de confianza para el contenido eso se transmite.

Firefox, por ejemplo, todavía usa un ícono de candado para indicar un sitio "seguro", pero anota el candado simplemente con las palabras "Conexión segura” y “Estás conectado de forma segura”, sin hacer ningún reclamo sobre el sitio en sí:

El navegador Edge hace algo similar cuando hace clic en el candado de un sitio web, mencionando la confidencialidad de la conexión, pero no sugiriendo que, en última instancia, pueda confiar en el contenido del sitio:

Este sitio tiene un certificado válido, emitido por una autoridad de confianza. Esto significa que la información (como contraseñas o tarjetas de crédito) se enviará de forma segura a este sitio y no podrá ser interceptada. Siempre asegúrese de estar en el sitio deseado antes de ingresar cualquier información.

Por el contrario, la ventana emergente del instalador de aplicaciones que verifica la firma digital del paquete de aplicaciones que está descargando identifica explícitamente el software como un Aplicación de confianza, a pesar de que permite que el firmante de la aplicación incluya datos del proveedor completamente falsos en el paquete de la aplicación, y luego muestra amablemente esa "identificación" fraudulenta directamente debajo del designador "Aplicación de confianza".

Esto implica, en nuestra opinión, de todos modos, que se ha alcanzado un listón de ciberseguridad mucho más alto: actúa como una especie de nivel de contenido afirmación que vive después de la instalación, en lugar de simplemente denotar algún grado de nivel de transporte seguridad que protege la red parte de la descarga solamente.

Soluciones alternativas recomendadas

Recomendamos, y seguimos recomendando, varias soluciones de seguridad, que incluyen:

Use un filtro web, si tiene uno, para bloquear la descarga de posibles paquetes de instaladores de aplicaciones. Las extensiones de archivo para bloquear incluyen: .msix, .appx, .msixbundle y .appxbundle.
Use un filtro web, si tiene uno, para evitar que los usuarios hagan clic en las URL que comienzan con ms-appinstaller://. Este es el protocolo especial (al que se hace referencia en la terminología de URL como esquema) utilizado por Windows para iniciar el instalador de la aplicación para tomar el control de su navegador.
Utilice la configuración de la directiva de grupo de Microsoft, si es posible, para evitar que los usuarios que no son administradores instalen paquetes de aplicaciones. Si ese es un paso demasiado lejos, bloquee a los usuarios para que puedan instalar paquetes de aplicaciones solo desde Microsoft Store.

Para conocer los ajustes de la política de grupo que ayudan con este problema (que recibió el identificador de vulnerabilidad CVE-2021-43890), puede consultar el sitio web de Microsoft. directrices publicadas sobre qué configuración usar.

¿Un paso demasiado lejos?

Nuestra recomendación intermedia anterior puede parecer bastante drástica, ya sea para sus usuarios internos si su empresa depende de proveedores que envían su software a través de App Bundles, o para clientes externos si ha seguido el camino de App Bundle para la entrega de software.

Después de todo, se supone que los paquetes de aplicaciones tienen varias ventajas, especialmente para los proveedores con productos de punto final que admiten una gama de diferentes versiones de Windows que se ejecutan en varios tipos de computadoras (por ejemplo, Intel, AMD, ARM):

Un paquete firmado para gobernarlos a todos, firmado digitalmente en el nivel superior.
El usuario no necesita averiguar cuál de las numerosas compilaciones distintas usar en su computadora, por lo que no puede terminar con la versión incorrecta.
Las descargas web a través del instalador de la aplicación ahorran ancho de banda omitiendo las partes que no son necesarias.

En Microsoft propias palabras:

El controlador de protocolo ms-appinstaller se introdujo para permitir a los usuarios instalar una aplicación sin problemas simplemente haciendo clic en un enlace en un sitio web. Lo que proporciona este controlador de protocolo es una forma para que los usuarios instalen una aplicación sin necesidad de descargar el paquete completo de MSIX. Esta experiencia es popular y estamos encantados de que tanta gente la haya adoptado hoy.

¿Qué hacer?

A pesar del párrafo optimista al final de la sección anterior, Microsoft no está tan emocionado de que los ciberdelincuentes hayan adoptado este proceso "sin interrupciones" que funciona "simplemente haciendo clic en un enlace", como documentamos por primera vez el año pasado.

el momento, en todo caso:

Estamos trabajando activamente para abordar esta vulnerabilidad. Por ahora, hemos deshabilitado el esquema (protocolo) ms-appinstaller. Esto significa que el Instalador de aplicaciones no podrá instalar una aplicación directamente desde un servidor web. En su lugar, los usuarios primero deberán descargar la aplicación en su dispositivo y luego instalar el paquete con el instalador de la aplicación. Esto puede aumentar el tamaño de descarga de algunos paquetes.

En otras palabras, la propia Microsoft ha renunciado por completo a dar soporte a su propia ms-appinstaller:// Tipo de URL a través de la web, porque cree que el proceso todavía es demasiado fácil de abusar.

Por lo tanto:

Si utiliza App Bundles para distribuir su propio software, deberá cambiar el proceso de empaquetado del software, las instrucciones de instalación o ambos. De lo contrario, los clientes potenciales pueden suponer que su software ya no es compatible con su computadora o su red y comprar en otro lugar.
Si confía en proveedores que distribuyen programas a través de paquetes de aplicaciones, deberá cambiar sus procedimientos de implementación y actualización. De lo contrario, podría terminar desactualizado o con usuarios internos descontentos.

Inteligencia de datos generativa

Microsoft bloquea la instalación web de sus propios archivos del instalador de aplicaciones

¡Estás despedido!

La firma de Rogue es fácil

Más seguridad implícita que un certificado HTTPS

Soluciones alternativas recomendadas

¿Un paso demasiado lejos?

¿Qué hacer?

Immersed For Vision Pro le ofrece monitores virtuales adicionales

Google y Harvard mapean una pequeña porción del cerebro humano con extrema precisión

Información más reciente

OpenAI lanza GPT-4o, un modelo de IA en tiempo real que interactúa a través de voz, texto y visión – Tech Startups

Diseñado para el éxito: cómo las soluciones de software personalizadas de Cody impulsan a las empresas hacia adelante

Las 5 principales ventajas de un servicio profesional de extinción de incendios 24/7

Se informa que Apple está a punto de vender Vision Pro fuera de EE. UU.

Microsoft y Amazon invertirán 5.6 millones de dólares en Francia mientras Macron corteja a los gigantes tecnológicos estadounidenses – Tech Startups

Apple parchea la vulnerabilidad de iTunes en Windows