Origine: bjCSIRT
Numéro: 2021/ALERTE/046
Date de l’alerte: 15/12/2021
APERÇU :
Une vulnérabilité d’usurpation d’identité a été découverte dans Microsoft AppX Installer. L’exploitation de cette faille pourrait permettre à un attaquant distant d’exécuter du code arbitraire, d’accéder à des données sensibles voire de prendre le contrôle total d’un système défaillant. La vulnérabilité libellée sous le CVE-2021-43890 est activement exploitée.
DESCRIPTION :
La vulnérabilité sous le CVE-2021-43890 est une vulnérabilité d’usurpation d’identité dans le programme d’installation « Windows AppX » : utilisé pour installer des applications AppX sur les systèmes Windows 10.
Cette vulnérabilité permet à un attaquant de créer un fichier exécutable malveillant, puis de le modifier pour qu’il ressemble à une application légitime. Les acteurs malveillants tentent d’exploiter cette vulnérabilité en utilisant des fichiers spécialement conçus qui incluent la famille de logiciels malveillants connus sous les noms « Emotet/Trickbot/Bazaloader ».
Pour exploiter cette vulnérabilité, l’attaquant devrait convaincre un utilisateur d’ouvrir une pièce jointe malveillante, dans la plupart des cas par le biais d’une attaque d’hameçonnage. Une fois exploitée, la vulnérabilité accorderait à un attaquant des privilèges élevés, en particulier lorsque le compte de la victime dispose de privilèges administrateur sur le système cible.
IMPACT :
- Atteinte à l’intégrité des données ;
- Atteinte à la confidentialité des données ;
- Déni de service ;
- Exécution de code arbitraire .
SYSTEMES AFFECTÉS :
- Système d’exploitation Windows 10
MESURES À PRENDRE :
Il est fortement recommandé aux utilisateurs d’appliquer des mises à jour à partir du système de mise à jour automatique de Windows.
Les utilisateurs qui ne pourraient pas être en mesure d’installer les mises à jour recommandées peuvent appliquer les solutions de contournement suivantes pour se protéger de la vulnérabilité :
- Activer l’objet de stratégie de groupe suivante pour empêcher les non-administrateurs d’installer des packages d’applications Windows :
- Définir la valeur de la politique: « BlockNonAdminUserInstall » à 1
- Activez cet objet de stratégie de groupe pour empêcher l’installation d’applications en dehors du Microsoft Store
- Définir la valeur de la politique: « AllowAllTrustedAppToInstall » à 1
- Utilisez Windows Defender Application Control ou AppLocker pour bloquer l’application Desktop App Installer (DesktopAppInstaller_8wekyb3d8bbwe), ou créez des stratégies pour limiter les applications installées dans votre environnement
- Désactivez le protocole « ms-appinstaller » pour installer des applications directement à partir d’un site Web.
REFERENCES :
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890
- https://www.tenable.com/blog/microsofts-december-2021-patch-tuesday-addresses-67-cves-cve-2021-43890