微软安全响应中心日前发布公告宣布对CVE-2021-43890等漏洞进行修复,其中部分漏洞此前已经遭到黑客利用。
编号为CVE-2021-43890的安全漏洞位于Windows Appx安装程序 , 可以被远程利用和通过低权限账户进行攻击。
利用这枚漏洞的主要是臭名昭著的 Emotet/Trickbot/Balaloader 恶意软件家族 , 但想要利用要进行复杂的工作。
包括攻击者需要使用特制软件包诱导用户下载和打开,而且在低权限账户上造成的危害也低于管理员权限的账户。
伪装Adobe PDF进行传播:
包括攻击者需要使用特制软件包诱导用户下载和打开,而且在低权限账户上造成的危害也低于管理员权限的账户。
此前微软已经观察到有攻击者利用伪造的 Adobe PDF 散播恶意软件,不过之前尚未确定其利用的是43890漏洞。
微软安全响应中心最新分享的细节确认相关攻击与 Emotet 使用的策略相同 , 因此基本可以确定此前的始作俑者。
Windows Appx是微软用于安装UWP类应用程序的框架 , 因此伪装的 Adobe PDF 安装时显示的也是UWP界面。
受攻击的主要是Windows 10,当用户安装恶意软件后系统会被自动添加多个负载安装更多特定功能的恶意软件。
微软提供无法更新的缓解方案:
相关漏洞已经在今天发布的累积安全更新中修复,不过如果企业无法及时部署更新也可以通过方案暂时进行缓解。
例如可以启用 BlockNonAdminUserInstall 策略用来阻止非管理员用户安装任何 Windows Appx 类应用程序。
亦可启用 AllowAllTrustedAppToInstall 策略阻止用户从商店之外安装程序,即想要安装只能从微软商店安装。
当然最简单的办法就是直接安装最新的累积更新,安装更新后系统将自动把Desktop.AppxInstall 更新至最新版。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/213430.html