Microsoft a désactivé un protocole qui permettait l’installation d’applications Windows après avoir découvert que des malfaiteurs utilisaient ce mécanisme pour installer des logiciels malveillants. Cette décision a été prise juste avant Noël et semble imiter des problèmes signalés pour la première fois en décembre 2021, afin de résoudre une vulnérabilité de l’installeur d’applications Windows AppX (CVE-2021-43890), dans laquelle un attaquant pouvait usurper App Installer pour installer un logiciel malveillant. Microsoft a réactivé le protocole, connu sous le nom de schéma URI ms-appinstaller, le 5 août 2022, avec la sortie de la version de prévisualisation Insider Build 25147 de Windows 11. Il a rendu le protocole disponible à certains clients professionnels qui ont choisi de l’utiliser via l’Éditeur de stratégie de groupe local. Le schéma URI ms-appinstaller permet à l’installeur de packages MSIX d’installer des applications Windows à partir d’une page Web en utilisant l’application locale App Installer. Cela permet une installation sans avoir besoin de stockage local. Cette fonctionnalité s’est avérée populaire, selon Microsoft. Hélas, comme l’a souligné la semaine dernière le groupe Microsoft Threat Intelligence, des malfaiteurs ont abusé du schéma URI ms-appinstaller pour distribuer des logiciels malveillants. Il semble que ce protocole ait offert une solution contournant les vérifications de sécurité de Microsoft.
Menu
