• Our Partners:

Microsoft Matikan Protokol MSIX Yang Dimanfaatkan Oleh Malware Emotet

Microsoft Matikan Protokol MSIX Yang Dimanfaatkan Oleh Malware Emotet

NESABAMEDIA.COMMicrosoft telah mematikan pengendali protokol MSIX ms-appinstaller yang dieksploitasi dalam serangan malware, untuk memasang aplikasi berbahaya secara langsung dari sebuah website, melalui kerentanan spoofing Windows AppX Installer. 

Keputusan tersebut diambil setelah Microsoft merilis pembaruan keamanan untuk mengatasi kerentanan yang terlacak sebagai CVE-2021-43890 saat peluncuran Patch Tuesday bulan Desember 2021, dan menyediakan perbaikan untuk mematikan skema MSIX tanpa memberikan tambalan. 

Sepertinya, alasan untuk mematikan protokol secara bersamaan itu untuk melindungi semua pengguna Windows, termasuk mereka yang belum memasang pembaruan keamanan Desember atau menerapkan solusi perbaikan yang telah diberikan. 

“Kami secara aktif berupaya untuk mengatasi masalah kerentanan ini. Untuk sekarang, kami telah mematikan skema ms-appinstaller. Ini artinya bahwa App Installer tidak akan bisa memasang sebuah aplikasi secara langsung dari sebuah server web. Sehingga, pengguna harus mengunduh aplikasi terlebih dahulu ke perangkat mereka, dan kemudian memasang paket dengan App Installer,” kata Dian Hartono Manager Program Microsoft. 

“Kami memahami bahwa fitur ini adalah fitur yang sangat penting bagi banyak perusahaan atau organisasi. Kami meluangkan waktu yang ada untuk melakukan pengujian secara menyeluruh guna memastikan bahwa pengaktifan kembali protokol bisa dilakukan dengan cara yang aman.

Kami sedang mempertimbangkan untuk memperkenalkan Group Policy yang memungkinkan para admin IT untuk mengaktifkan kembali protokol dan mengendalikan penggunaanya dalam organisasi mereka,” tambahnya. 

Seperti yang telah dilaporkan sebelumnya, Emotet mulai menyebar dan menginfeksi sistem Windows 10 dan 11 pada awal Desember lalu menggunakan paket Windows AppX Installer yang telah dimodifikasi, dan kemudian menyamar sebagai software Adobe PDF. 

Email phising Emotet menggunakan email rantai balasan curian dan menginstruksikan calon korban untuk membuka PDF yang telah berisi malware, yang terkait dengan percakapan sebelumnya. Namun ketika diklik, tautan yang disematkan dalam email akan mengarahkan calon korban ke halaman berbahaya, yang akan meluncurkan program Windows App Installer dan kemudian meminta untuk memasang komponen Adobe PDF. 

Meski ini terlihat seperti aplikasi Adobe yang resmi, App Installer akan mengunduh dan memasang appxbundle berbahaya yang dihosting di Microsoft Azure ketika pengguna mengklik tombol pasang. 

Kerentanan AppX Installer ini juga dieksploitasi untuk menyebarkan malware BazarLoader melalui paket berbahaya yang disimpan di Microsoft Azure menggunakan domain .web.core.windows.net.

Editor: Muchammad Zakaria

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
Send this to a friend