Passer au contenu

Windows : Microsoft désactive un outil massivement détourné par les pirates

Microsoft a pris une décision pour protéger les utilisateurs d’un ordinateur Windows. Après avoir remarqué une foule de cyberattaques, le géant de Redmond a préféré désactiver un protocole qui facilite l’installation d’applications sur Windows. Celui-ci a été détourné par des hackers pour déployer des ransomwares.

Microsoft vient d’annoncer la désactivation de « ms-appinstaller », un protocole qui permet d’installer, mettre à jour ou désinstaller des applications à partir de fichiers d’installation sur des appareils Windows. Comme l’explique le groupe américain sur son site, « App Installer peut installer une application directement à partir d’un serveur web ». Le protocole facilite l’installation d’applications universelles Windows (UWP) sur l’ordinateur. C’est notamment utile dans le cadre du déploiement d’applications d’entreprise ou la distribution d’applications via le Microsoft Store.

À lire aussi : Au 1ᵉʳ janvier 2024, Steam va abandonner ces anciennes versions de Windows

Un outil Windows exploité pour propager des ransomwares

En novembre 2023, Microsoft s’est rendu compte que des groupes de hackers exploitaient cet outil pour mener des cyberattaques. Les cybercriminels ont en effet découvert que le protocole permettait d’installer des logiciels malveillants sur le système d’exploitation en contournant « les mécanismes conçus pour aider à protéger les utilisateurs », explique l’éditeur. L’App Installer permet en effet de berner Microsoft Defender SmartScreen, l’outil qui analyse les sites web consultés pour détecter d’éventuelles menaces et examine les fichiers téléchargés depuis Internet.

Parmi les gangs soupçonnés d’avoir détourné le gestionnaire de l’App Installer, on trouve plusieurs organisations spécialisées dans les ransomwares, comme Storm-0569 ou encore Sangria Tempest. Ces groupes se sont servis du protocole comme « point d’entrée » d’une infection par rançon logiciel. Pour duper les internautes, ils ont notamment déguisé un malware en application légitime, comme Zoom, TeamViewer et AnyDesk. Ces apps factices ont ensuite été proposées sur des sites web frauduleux. Elles sont mises en avant dans des publicités. D’après Microsoft, les attaquants ne se contentent pas d’abuser du gestionnaire. Ils exploitent aussi le format de fichier MSIX, un format d’emballage d’application introduit par Microsoft, pour orchestrer leurs opérations.

Face à la menace émergente, Microsoft a préféré prendre les devants en retirant « ms-appinstaller » du code de l’App Installer. La version 1.21.3421.0 de l’outil est maintenant dépourvue du protocole. De facto, les applications Windows ne peuvent plus être installées directement à partir d’un serveur sur l’appareil. Les utilisateurs doivent d’abord télécharger le programme d’installation (le progiciel) de l’application. La procédure d’installation compte désormais une étape supplémentaire, lors de laquelle les utilisateurs téléchargent manuellement le programme d’installation avant de l’exécuter.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Microsoft


Florian Bayard
Votre opinion
  1. Bonjour,
    Pour un article réservé aux utilisateurs de Windows, vous pourriez utiliser une photo de PC plutôt que d’un MacBook, ce serait plus représentatif 😉

Les commentaires sont fermés.