Microsoft Threat Intelligence注意到Storm-0569、Storn-1113、Sangria Tempest和Storm-1674等威胁参与者使用ms-appinstaller URI方案(App Installer)分发恶意软件。微软已决定默认禁用ms-appinstaller协议处理程序,以保护客户免受恶意软件和相关威胁的影响。
Microsoft禁用ms-appinstaller协议处理程序
微软的ms-appinstaller协议处理程序是一个受信任的协议,可以绕过Microsoft Defender SmartScreen和Edge内置的浏览器保护服务等安全机制。威胁者已经意识到这一点,并开始使用ms-appinstaller协议来分发恶意软件。Storm-0569、Storm-1113、Storm-1674和Sangria Tempest等威胁组织开始使用MSIX文件格式分发勒索软件。
他们注册看起来像是官方和可信来源的虚假域名,并上传最常用程序的安装程序,如Zoom、Tableau、TeamViewer和Microsoft Team。他们甚至通过团队消息恶搞OneDrive和SharePoint的登录页面。威胁参与者加入一对一的聊天和会议,引诱目标安装恶意软件。微软自2023年11月以来就注意到了这一点。由于这些恶意软件和勒索软件攻击会给目标/受害者带来经济损失,Microsoft默认禁用了ms-appinstaller协议处理程序。
默认情况下,在App Installer内部版本1.21.3421.0中禁用ms-appinstaller URI方案处理程序。为了减少威胁的影响,微软在其博客中给出了一些建议。它们是:
- 为用户试行和部署防网络钓鱼身份验证方法。
- 实施条件访问身份验证强度,要求关键应用程序的员工和外部用户进行防网络钓鱼身份验证。
- 教育Microsoft团队用户验证来自外部实体的通信尝试的“外部”标记,谨慎他们共享的内容,并且永远不要通过聊天共享他们的帐户信息或授权登录请求。
- 应用Microsoft针对Microsoft团队的安全最佳实践来保护团队用户。
- 教育用户审查登录活动,并将可疑的登录尝试标记为“这不是我”。
- 鼓励用户使用Microsoft Edge和其他支持Microsoft Defender SmartScreen的Web浏览器,该浏览器可识别和阻止恶意网站,包括网络钓鱼网站、诈骗网站以及包含利用漏洞和托管恶意软件的网站。
- 指导用户使用浏览器URL导航器来验证在单击搜索结果中的链接时是否已到达预期的合法域。
- 教育用户验证正在安装的软件是否预期由合法发行商发布。
- 将Microsoft Defender for Office 365配置为在单击时重新检查链接。安全链接提供对邮件流中的入站电子邮件的URL扫描和重写,以及对电子邮件、其他Microsoft Office应用程序(如团队)和其他位置(如SharePoint Online)中的URL和链接的单击时间验证。在Microsoft Exchange Online Protection(EOP)中,除了入站电子邮件中的常规反垃圾邮件和反恶意软件保护外,还会进行安全链接扫描。安全链接扫描可帮助保护您的组织免受用于网络钓鱼和其他攻击的恶意链接的攻击。
- 启用攻击面缩减规则以防止常见攻击技术:
- 使用针对勒索软件的高级防护
- 阻止运行可执行文件,除非它们满足流行、年限或受信任列表标准
- 在数据块模式下打开PUA保护
Microsoft has advised companies who can’t immediately deploy the latest App Installer version to disable the protocol by setting the Group Policy EnableMSAppInstallerProtocol to Disabled.