微軟今天正式宣布,它已經禁用了MSIX應用安裝程序協議以防止惡意攻擊。該協議允許用戶直接從網絡服務器上安裝各種應用程序,而不需要先將其下載到本地存儲。當時的想法是,這種方法將為用戶節省空間,因為不需要下載整個MSIX包。
然而,這種Windows應用程序安裝包後來被發現用來分發惡意的PDF文件,如Emotet和BazarLoader惡意軟件。因此,該協議在去年被禁用,但今天才正式宣布。這個Windows AppX安裝程序欺騙漏洞的ID被分配為CVE-2021-43890。
安全公告的貼文解釋稱:
我們最近被告知,MSIX的ms-appinstaller協議可以被惡意使用。具體來說,攻擊者可以欺騙App Installer來安裝一個用戶並不打算安裝的軟件包。
目前,我們已經禁用了ms-appinstaller方案(協議)。這意味着App Installer將不能直接從網絡服務器上安裝一個應用程序。相反,用戶將需要首先將應用程序下載到他們的設備上,然後用App Installer安裝該軟件包。這可能會增加一些軟件包的下載大小。
以下是在網站上禁用該協議的方法:
如果你在你的網站上利用了ms-appinstaller協議,我們建議你更新你的應用程序的鏈接,刪除’ms-appinstaller:?source=’字段,這樣MSIX包或App Installer文件就會下載到用戶的機器上再安裝。
微軟還表示,它正在研究如何在未來某個時候以安全的方式重新啟用該協議,比如添加某些組策略。但就目前而言,上述的變通方法是防止惡意攻擊的臨時解決方案。
我們正在花時間進行徹底的測試,以確保能夠以安全的方式重新啟用該協議。我們正在研究引入一個組策略,允許IT管理員重新啟用該協議並控制其在組織內的使用。
你可以在官方公告中找到更多細節:
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479