Le protocole devait simplifier la vie des utilisateurs. Mais il facilitait également celle des cybercriminels… L’éditeur Microsoft vient finalement d’annoncer à la fin décembre la désactivation par défaut de MS-AppInstaller, un protocole qui permettait d’installer une application Windows en un clic depuis une page web.
Comme le déplore la firme de Redmond, ce protocole était malheureusement détourné par plusieurs groupes de cybercriminels depuis au moins la mi-novembre 2023. Les experts de Microsoft ont ainsi repéré la vente sur des marchés noirs d’un kit malveillant basé sur cette faille.
Contournement des protections
Le protocole MS-AppInstaller était particulièrement intéressant pour des cybercriminels. Il permettait en effet de contourner, note Microsoft, les mécanismes de protection mis en place, comme celui du Defender Smart Screen, ce service du navigateur Edge alertant les utilisateurs à propos du téléchargement d’un fichier exécutable.
Par exemple, des cybercriminels avaient imité des pages de téléchargement de logiciels célèbres tels que AnyDesk, Tableau, TeamViewer ou Zoom. Le lancement de l’installation du faux logiciel ouvrait en fait la voie, via un loader, à des logiciels malveillants, notamment celui du rançongiciel Black Basta.
De même, les experts de Microsoft ont repéré l’utilisation de la faille à des fins d’installation de stealer, ces logiciels espions, ou de chevaux de Troie, par des courtiers en accès initial ou des spécialistes de l’extorsion numérique.
Téléchargement avant l’installation
Pour inciter les victimes à cliquer sur les faux liens d’installation, des cybercriminels passaient enfin par Teams pour ouvrir des réunions avant d’envoyer des messages frauduleux aux personnes présentes.
Avec la désactivation par défaut de MS-AppInstaller, l’utilisateur devra désormais télécharger l’application avant d’installer le logiciel. Il est recommandé de manière générale de n’installer un logiciel qu’à partir du site de l’éditeur ou d’un magasin d’applications certifié.
Il y a deux ans, Microsoft avait déjà dû combler une vulnérabilité dans Windows AppX Installer. L’éditeur s’était alors inquiété des manœuvres de cybercriminels visant à passer par le programme d’installation pour faire installer des malwares tel qu’Emotet, Trickbot ou Bazaloader.