Protokolün kullanıcıların hayatını kolaylaştırması gerekiyordu. Ama aynı zamanda siber suçluların da işini kolaylaştırdı… Yayıncı Microsoft nihayet geliyor duyurmak için Aralık ayının sonunda, bir Windows uygulamasının bir web sayfasından tek tıklamayla kurulmasına olanak tanıyan bir protokol olan MS-AppInstaller’ın varsayılan olarak devre dışı bırakılması.
Üzüldüğüm gibi Redmond firmasıbu protokol ne yazık ki en azından Kasım 2023’ün ortasından bu yana çeşitli siber suçlu grupları tarafından kötüye kullanılıyor. Böylece Microsoft uzmanları, bu kusura dayanan kötü amaçlı bir kitin karaborsalarda satıldığını tespit etti.
Korumaları atlamak
MS-AppInstaller protokolü siber suçluların özellikle ilgisini çekiyordu. Microsoft, Defender Smart Screen gibi uygulamaya konulan koruma mekanizmalarının atlanmasını mümkün kıldığını, bu Edge tarayıcı hizmetinin kullanıcıları yürütülebilir bir dosyanın indirilmesi konusunda uyardığını belirtiyor.
Örneğin siber suçlular AnyDesk, Tableau, TeamViewer veya Zoom gibi ünlü yazılımların indirme sayfalarını taklit etmişti. Sahte yazılımın kurulumunu başlatmak aslında bir yükleyici aracılığıyla kötü amaçlı yazılımlara, özellikle de Black Basta fidye yazılımına giden yolu açtı.
Benzer şekilde Microsoft uzmanları, bu kusurun, ilk erişim aracıları veya dijital şantaj uzmanları tarafından hırsız, casus yazılım veya Truva atı yüklemek amacıyla kullanıldığını tespit etti.
Kurulumdan önce indirin
Siber suçlular, kurbanları sahte kurulum bağlantılarına tıklamaya teşvik etmek amacıyla, orada bulunanlara sahte mesajlar göndermeden önce toplantıları açmak için nihayet Teams’i kullandı.
İle MS-AppInstaller’ı varsayılan olarak devre dışı bırakma, kullanıcının artık yazılımı yüklemeden önce uygulamayı indirmesi gerekecektir. Genellikle yazılımın yalnızca yayıncının web sitesinden veya sertifikalı bir uygulama mağazasından yüklenmesi önerilir.
İki yıl önce Microsoft, Windows AppX Installer’daki bir güvenlik açığını kapatmak zorunda kalmıştı. Yayıncı daha sonra Emotet, Trickbot veya Bazaloader gibi kötü amaçlı yazılımları yüklemek için kurulum programından geçmeyi amaçlayan siber suçluların manevralarından endişe duyuyordu.