16/12/2024

Actu Cybersécurité

Microsoft désactive le protocole MSIX sur Windows pour vous protéger de certains malwares

Une nouvelle fois, Microsoft a pris la décision de désactiver l'appel du protocole MSIX dans les applications dans le but de renforcer la sécurité des utilisateurs. En effet, plusieurs groupes de cybercriminels l'exploitent pour distribuer des logiciels malveillants. Faisons le point !

D'après Microsoft, les cybercriminels exploitent fréquemment la faille de sécurité CVE-2021-43890 présente dans l'installeur Windows AppX pour déployer des malwares en passant outre les systèmes de protection de Windows (notamment SmartScreen). Ceci peut passer par la diffusion de publicités malveillantes pour des logiciels populaires, mais également des messages sur Microsoft Teams. Les malwares prennent la forme d'un package d'application au format MSIX, signé et malveillant.

En février 2022, Microsoft avait déjà pris la décision de désactiver l'appel du protocole MSIX, notamment car il était exploité par le malware Emotet qui se propageait sous la forme d'un package MSIX d'Adobe PDF malveillant. On pourrait également citer deux autres malwares qui s'appuient sur cette méthode : Bazarloader et Trickbot.

Un changement opéré le 28 décembre 2023

Le 28 décembre 2023, Microsoft a annoncé avoir désactivé cette fonctionnalité dans l'installeur Windows AppX. Ce qui est étonnant d'un côté, et nous ne savons pas quand et pourquoi Microsoft avait réactivé cette méthode entre février 2022 et décembre 2023.

"Le 28 décembre 2023, Microsoft a mis à jour CVE-2021-43890 afin de désactiver le schéma URI (protocole) de ms-appinstaller par défaut, dans le cadre d'une réponse de sécurité visant à protéger les clients contre les techniques évolutives des attaquants contre les mesures précédentes. Cela signifie que les utilisateurs ne pourront plus installer une application directement à partir d'une page web en utilisant le programme d'installation de paquets MSIX.", peut-on lire sur le site de Microsoft.

Désormais, l'installation devra se faire en deux temps : d'abord, il faudra télécharger le package, puis lancer son installation manuellement. Ceci est important, car cela permettra à la solution de sécurité présente sur la machine d'analyser le package. À ce sujet, Microsoft précise : "Au lieu de cela, les utilisateurs devront d'abord télécharger le paquet MSIX pour l'installer, ce qui garantit que les protections antivirus installées localement fonctionneront."

Comment se protéger ?

Ce changement est intégré à l'application "App Installer" de Microsoft à partir de la version 1.21.3421.0. Il s'agit d'une version datant de plusieurs mois, donc si vous mettez à jour régulièrement vos machines, vous devriez être protégé. Toutefois, cette commande PowerShell vous permettra d'obtenir la version d'App Installer sur votre machine :

(Get-AppxPackage Microsoft.DesktopAppInstaller).Version

Si besoin, vous pouvez mettre à jour l'App Installer via WinGet à l'aide de cette commande :

winget upgrade Microsoft.AppInstaller

Vous avez également la possibilité de configurer un paramètre par stratégie de groupe dans le but de désactiver la fonction d'appel du protocole MSIX. La firme de Redmond précise que le paramètre suivant doit être désactivé :

  • Computer Configuration > Administrative Templates > Windows Components > Desktop App Installer > Enable App Installer ms-appinstaller protocol

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.