Une vulnérabilité d’usurpation d’identité a été découverte dans Microsoft AppX Installer. La vulnérabilité libellée sous le CVE-2021-43890 est une vulnérabilité d’usurpation d’identité dans le programme d’installation « Windows AppX » : utilisé pour installer des applications AppX sur les systèmes Windows 10. La vulnérabilité est activement exploitée.
Cette vulnérabilité permet à un attaquant de créer un fichier exécutable malveillant, puis de le modifier pour qu’il ressemble à une application légitime. Les acteurs malveillants tentent d’exploiter cette vulnérabilité en utilisant des fichiers spécialement conçus qui incluent la famille de logiciels malveillants connus sous les noms « Emotet/Trickbot/Bazaloader ».
Pour exploiter cette vulnérabilité, l’attaquant devrait convaincre un utilisateur d’ouvrir une pièce jointe malveillante, dans la plupart des cas par le biais d’une attaque d’hameçonnage. Une fois exploitée, la vulnérabilité accorderait à un attaquant des privilèges élevés, en particulier lorsque le compte de la victime dispose de privilèges administrateur sur le système cible.
RISQUES
- Atteinte à l’intégrité des données
- Atteinte à la confidentialité des données
- Déni de service
- Exécution de code arbitraire
SYSTEMES AFFECTÉS
- Système d’exploitation Windows 10
MESURES À PRENDRE
Il est fortement recommandé aux utilisateurs d’appliquer des mises à jour à partir du système de mise à jour automatique de Windows.
Les utilisateurs qui ne pourraient pas être en mesure d’installer les mises à jour recommandées peuvent appliquer les solutions de contournement suivantes pour se protéger de la vulnérabilité :
- Activer l’objet de stratégie de groupe suivante pour empêcher les non-administrateurs d’installer des packages d’applications Windows [Définir la valeur de la politique: « BlockNonAdminUserInstall » à 1]
- Activez cet objet de stratégie de groupe pour empêcher l’installation d’applications en dehors du Microsoft Store [Définir la valeur de la politique: « AllowAllTrustedAppToInstall » à 1]
- Utilisez Windows Defender Application Control ou AppLocker pour bloquer l’application Desktop App Installer (DesktopAppInstaller_8wekyb3d8bbwe), ou créez des stratégies pour limiter les applications installées dans votre environnement
- Désactivez le protocole « ms-appinstaller » pour installer des applications directement à partir d’un site Web
Références
