Selon Black Hills Information Security, des fonctionnalités Windows légitimes — Microsoft Store (msstore) et WinGet (App Installer) — peuvent être exploitées en entreprise pour installer, sans privilèges élevés, des applications à double usage permettant de contourner des contrôles de sécurité.

L’étude met en évidence des risques liés à l’installation non autorisée d’outils de prise de contrôle à distance, de clients bases de données, d’utilitaires système et de logiciels de tunneling, facilitant le mouvement latéral et l’exfiltration de données. Des paquets msstore et l’utilitaire WinGet permettent ces installations malgré l’absence de droits administrateur.

Produits et composants concernés:

  • Microsoft Store (msstore) et WinGet / App Installer sur Windows.

Techniques et outils cités (TTPs) ⚙️:

  • Quick Assist pour de l’accès à distance via ingénierie sociale.
  • DBeaver pour énumération de bases et vol d’identifiants via xp_dirtree et des attaques SMB relay.
  • Sysinternals Suite pour la reconnaissance Active Directory.
  • Dev Tunnel Client pour des tunnels SSH-over-HTTPS avec redirection de ports localhost.
  • Interpréteurs PowerShell contournant la protection des endpoints.

Mesures de mitigation proposées 🔧:

  • Désactiver l’accès au Microsoft Store via Group Policy.
  • Régler Enable App Installer sur Disabled.
  • Mettre en place de listes blanches d’applications (application whitelisting).

IOCs et TTPs:

  • IOCs: aucun indicateur spécifique fourni.
  • TTPs: installation d’outils dual-use via canaux légitimes (Microsoft Store/WinGet), accès à distance (Quick Assist), énumération/credential theft (DBeaver + xp_dirtree, SMB relay), reconnaissance AD (Sysinternals), tunneling chifré (Dev Tunnel), contournement EPP/EDR (PowerShell).

Type d’article et objectif: analyse de menace visant à illustrer des vecteurs d’abus de fonctionnalités Windows légitimes et à proposer des contrôles de réduction du risque.

🧠 TTPs et IOCs détectés

TTPs

Installation d’outils dual-use via canaux légitimes (Microsoft Store/WinGet), accès à distance (Quick Assist), énumération/credential theft (DBeaver + xp_dirtree, SMB relay), reconnaissance AD (Sysinternals), tunneling chiffré (Dev Tunnel), contournement EPP/EDR (PowerShell)

IOCs

aucun indicateur spécifique fourni

🔗 Source originale : https://www.blackhillsinfosec.com/microsoft-store-and-winget-security-risks/

🖴 Archive : https://web.archive.org/web/20250910174441/https://www.blackhillsinfosec.com/microsoft-store-and-winget-security-risks/