Microsoft Threat Intelligence telah memperhatikan bahwa pelaku ancaman seperti Storm-0569, Storn-1113, Sangria Tempest, dan Storm-1674 menggunakan skema URI ms-appinstaller (Penginstal Aplikasi) untuk mendistribusikan malware. Microsoft telah memutuskan untuk menonaktifkan pengendali protokol ms-appinstaller secara default untuk melindungi pelanggan dari malware dan ancaman terkait.
Microsoft menonaktifkan pengendali protokol ms-appinstaller
Pengendali protokol ms-appinstaller Microsoft adalah protokol tepercaya yang dapat melewati mekanisme keamanan seperti Microsoft Defender SmartScreen dan layanan perlindungan browser bawaan Edge. Pelaku ancaman menyadari hal ini dan mulai menggunakan protokol ms-appinstaller untuk mendistribusikan malware. Kelompok ancaman seperti Storm-0569, Storm-1113, Storm-1674, dan Sangria Tempest mulai menggunakan format file MSIX untuk mendistribusikan ransomware.
Mereka mendaftarkan nama domain palsu yang terlihat seolah-olah merupakan sumber resmi dan tepercaya serta mengunggah penginstal untuk program yang paling sering digunakan seperti Zoom, Tableau, TeamViewer, dan Microsoft Teams. Mereka bahkan memalsukan halaman arahan OneDrive dan SharePoint melalui pesan Teams. Pelaku ancaman bergabung dalam obrolan dan pertemuan satu lawan satu dan memikat target untuk memasang malware. Microsoft telah memperhatikan hal ini sejak November 2023. Karena serangan malware dan ransomware ini menyebabkan kerugian finansial bagi target/korban, Microsoft telah menonaktifkan pengendali protokol ms-appinstaller secara default.
Penangan skema URI ms-appinstaller dinonaktifkan secara default di Penginstal aplikasi build 1.21.3421.0. Untuk mengurangi dampak ancaman tersebut, Microsoft telah memberikan beberapa tips di blognya. Mereka adalah:
Menguji dan menerapkan metode autentikasi tahan phishing untuk pengguna. Menerapkan kekuatan autentikasi Akses Bersyarat untuk mewajibkan autentikasi tahan phishing bagi karyawan dan pengguna eksternal untuk aplikasi penting. Mendidik pengguna Microsoft Teams untuk memverifikasi penandaan ‘Eksternal’ pada upaya komunikasi dari eksternal entitas, berhati-hatilah dengan apa yang mereka bagikan, dan jangan pernah membagikan informasi akun mereka atau mengotorisasi permintaan masuk melalui obrolan. Terapkan praktik terbaik keamanan Microsoft untuk Microsoft Teams untuk melindungi pengguna Teams. Didik pengguna untuk meninjau aktivitas masuk dan menandai proses masuk yang mencurigakan. dalam upaya sebagai “Ini bukan saya”. Dorong pengguna untuk menggunakan Microsoft Edge dan browser web lain yang mendukung Microsoft Defender SmartScreen, yang mengidentifikasi dan memblokir situs web berbahaya, termasuk situs phishing, situs penipuan, dan situs yang berisi eksploitasi dan host malware. Didik pengguna untuk menggunakan navigator URL browser untuk memvalidasi bahwa setelah mengklik tautan di hasil pencarian, mereka telah tiba di domain sah yang diharapkan. Didik pengguna untuk memverifikasi bahwa perangkat lunak yang sedang diinstal diharapkan diterbitkan oleh penerbit yang sah. Konfigurasikan Microsoft Defender untuk Office 365 untuk memeriksa ulang tautan saat diklik. Tautan Aman menyediakan pemindaian URL dan penulisan ulang pesan email masuk dalam aliran email, serta verifikasi waktu klik URL dan tautan dalam pesan email, aplikasi Microsoft Office lainnya seperti Teams, dan lokasi lain seperti SharePoint Online. Pemindaian Tautan Aman terjadi selain perlindungan anti-spam dan anti-malware reguler dalam pesan email masuk di Microsoft Exchange Online Protection (EOP). Pemindaian Tautan Aman dapat membantu melindungi organisasi Anda dari tautan berbahaya yang digunakan dalam phishing dan serangan lainnya. Aktifkan aturan pengurangan permukaan serangan untuk mencegah teknik serangan umum:
Gunakan perlindungan tingkat lanjut terhadap ransomwareBlokir file yang dapat dieksekusi agar tidak berjalan kecuali memenuhi kriteria prevalensi, usia, atau daftar tepercayaAktifkan perlindungan PUA di blok mode Microsoft telah menyarankan perusahaan yang tidak dapat segera menerapkan versi Penginstal Aplikasi terbaru untuk menonaktifkan protokol dengan mengatur Grup Kebijakan AktifkanMSAppInstallerProtocol hingga Dinonaktifkan .
Itulah konten tentang Microsoft menonaktifkan pengendali protokol ms-appinstaller untuk alasan keamanan, semoga bermanfaat.