Actualités

Emotet : les macros sous Excel et le protocole Ms-AppInstaller MSIX sont désactivés par Microsoft ! (coup-double et coup dur…)

En fin d’année, une réminiscence d’Emotet tendait à se confirmer à travers des indices troublant dont, globalement, une adaptativité accrue qui permettait au malware de s’émanciper via de nouvelles versions et fonctionnalités, quitte à raccourcir certains schémas d’infections ou de propagation. Toujours évolutif, Emotet s’est récemment concentré, en Janvier 2022, à intensifier les exploits depuis les macros-commandes sous Excel voire directement sous Ms-AppInstaller MSIX…

 

 

Assignée CVE-2021-43890, la vulnérabilité relative au protocole MSIX, découverte originellement le 14 Décembre 2021, visait à permettre à Emotet (Bazaloader, Trickbot) de se propager dans des packages spécifiques : pour l’heure, le protocole est désactivé et les utilisateurs et ces derniers devront intégralement télécharger un package vers le terminal avant de pouvoir utiliser AppInstaller pour exploiter le package en question. Il est également recommandé, faute de mieux, de changer l’URL jointée avec l’application, via une suppression de “ms-appinstaller:?source=“.

Toujours pour mieux se passer sous les radars, Emotet exploite, également, les macros sous Excel : selon le billet sécuritaire de l’équipe TrendMicro, la viralité prend sa source depuis un document (pièce jointe) envoyé par mail et intégrant une macro-commande du tableur (versionné 4.0) et qui permet d’actionner une tâche redondante. Celle-ci est détourné par les cyber-attaquants qui opère une sorte de boucle pour permettre, en réalité, d’automatiser la chaîne de malwares découlant d’Emotet. Ces macros reposent sur l’usage de routine d’adresses IPs hexadécimales et octales. Dans un billet du 19 Janvier 2022, Microsoft a indiqué, dans l’immédiat et par défaut, que les macros sous Excel en v4.0 seront désactivées avec une activation qui restera possible mais à utiliser avec parcimonie par les administrateurs-systèmes ou utilisateurs… A veiller !

 

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6