Microsoft schakelt App Installer-protocol standaard uit wegens misbruik
Microsoft heeft besloten om het App Installer-protocol in Windows wegens misbruik standaard uit te schakelen. Volgens het techbedrijf maken cybercriminelen er gebruik van om gebruikers en organisaties met malware te infecteren. Via het protocol zijn Windows-apps vanaf een webpagina te installeren. Gebruikers kunnen op deze manier eenvoudig de installatie van de betreffende software uitvoeren.
Twee jaar geleden verhielp Microsoft als een zerodaylek in het protocol. Destijds konden criminelen de getoonde softwareleverancier spoofen, waardoor het voor gebruikers leek alsof ze software van bekende leveranciers zoals Adobe en Microsoft installeerden, terwijl het in werkelijkheid om malware ging. Bij de nu waargenomen aanvallen is dat niet het geval en wordt de naam van een onbekende softwareleverancier getoond.
Gebruikers worden bijvoorbeeld via phishingaanvallen verleid om Zoom of Adobe PDF Reader te installeren, maar het gaat hier om malware waarmee verdere aanvallen worden uitgevoerd. De aanvallen zijn het werk van criminele organisaties die zich onder andere met bankfraude en ransomware bezighouden, aldus Microsoft. Om het waargenomen misbruik tegen te gaan is nu besloten het protocol in Windows standaard uit te schakelen. Daarnaast kunnen het beheerders het ook via een group policy binnen hun organisatie uitschakelen of inschakelen.
En dat laat weer duidelijk zien waarom de benadering die Microsoft en andere softwareleveranciers altijd al hebben gekozen, namelijk om zoveel mogelijk drempels weg te nemen en dingen met een minimum aan moeite door te laten gaan, verkeerd uitpakt.
Ik vind het niet vreemd dat dit misgaat. Als je gemakzucht voortdurend stimuleert leren mensen zich ook gemakzuchtig te gedragen. Het bevordert niet dat mensen opletten, het bevordert juist dat ze dat niet doen. Dingen die vergen dat mensen even goed nadenken voor ze ermee doorgaan moeten juist niet te makkelijk zijn. User interfaces voor dat soort dingen moeten uitnodigen tot bedachtzaamheid, niet tot gedachteloos toestemming geven. Dat bij apps die gevaarlijke rechten vragen (zelfs domweg alle, zoals in de screenshot bij het artikel) het vinkje voor direct opstarten vooraf ingevuld staat is echt ongelofelijk stom.
Persoonlijke ergernis: In de onderschriften noemt Microsoft deze vensters trouwens consequent een "Sample malicious App Installer experience". Microsoft smijt echt te pas en te onpas met het woord "experience". Alsof je als je boodschappen gaat doen met je autoervaring naar de supermarktervaring gaat en daar je boodschappen bij de kassaervaring afrekent. Wat is dat toch voor idioot taalgebruik?
Dat laatste lijkt wellicht ongerelateerd maar is het misschien toch niet. Beide vormen van idiotie zouden een gevolg kunnen zijn van een veel dikke vinger in de pap van de marketingafdeling.
En dat laat weer duidelijk zien waarom de benadering die Microsoft en andere softwareleveranciers altijd al hebben gekozen, namelijk om zoveel mogelijk drempels weg te nemen en dingen met een minimum aan moeite door te laten gaan, verkeerd uitpakt.
Ik vind het niet vreemd dat dit misgaat. Als je gemakzucht voortdurend stimuleert leren mensen zich ook gemakzuchtig te gedragen. Het bevordert niet dat mensen opletten, het bevordert juist dat ze dat niet doen. Dingen die vergen dat mensen even goed nadenken voor ze ermee doorgaan moeten juist niet te makkelijk zijn. User interfaces voor dat soort dingen moeten uitnodigen tot bedachtzaamheid, niet tot gedachteloos toestemming geven. Dat bij apps die gevaarlijke rechten vragen (zelfs domweg alle, zoals in de screenshot bij het artikel) het vinkje voor direct opstarten vooraf ingevuld staat is echt ongelofelijk stom.
Persoonlijke ergernis: In de onderschriften noemt Microsoft deze vensters trouwens consequent een "Sample malicious App Installer experience". Microsoft smijt echt te pas en te onpas met het woord "experience". Alsof je als je boodschappen gaat doen met je autoervaring naar de supermarktervaring gaat en daar je boodschappen bij de kassaervaring afrekent. Wat is dat toch voor idioot taalgebruik?
Dat laatste lijkt wellicht ongerelateerd maar is het misschien toch niet. Beide vormen van idiotie zouden een gevolg kunnen zijn van een veel dikke vinger in de pap van de marketingafdeling.
Microsoft logica is daarnaast altijd bizar geweest. Men heeft altijd geleerd om op start te klikken om te stoppen.
Wat verwacht je dan nog?
What could possibly go wrogn? Ik dacht dat ms inmiddels ook wel had begrepen dat secure defaults de juiste weg waren.
Buzzwords: belevingen en ervaringen. Ineens is alles een beleving.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-43890
Daarna hebben ze het 'Vendor' veld toegevoegd zodat je kan zien wie de uitgever is en de hele boel weer ingeschakeld.
Die gasten vallen zo vaak in herhaling dat het niet grappig meer is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
