微軟今天正式宣佈,它已經禁用了MSIX應用安裝程式協議以防止惡意攻擊。該協議允許使用者直接從網路伺服器上安裝各種應用程式,而不需要先將其下載到本地儲存。當時的想法是,這種方法將為使用者節省空間,因為不需要下載整個MSIX包。
然而,這種Windows應用程式安裝包後來被發現用來分發惡意的PDF檔案,如Emotet和BazarLoader惡意軟體。因此,該協議在去年被禁用,但今天才正式宣佈。這個Windows AppX安裝程式欺騙漏洞的ID被分配為CVE-2021-43890。
安全公告的貼文解釋稱:
我們最近被告知,MSIX的ms-appinstaller協議可以被惡意使用。具體來說,攻擊者可以欺騙App Installer來安裝一個使用者並不打算安裝的軟體包。
目前,我們已經禁用了ms-appinstaller方案(協議)。這意味著App Installer將不能直接從網路伺服器上安裝一個應用程式。相反,使用者將需要首先將應用程式下載到他們的裝置上,然後用App Installer安裝該軟體包。這可能會增加一些軟體包的下載大小。
以下是在網站上禁用該協議的方法:
如果你在你的網站上利用了ms-appinstaller協議,我們建議你更新你的應用程式的連結,刪除'ms-appinstaller:?source='欄位,這樣MSIX包或App Installer檔案就會下載到使用者的機器上再安裝。
微軟還表示,它正在研究如何在未來某個時候以安全的方式重新啟用該協議,比如新增某些組策略。但就目前而言,上述的變通方法是防止惡意攻擊的臨時解決方案。
我們正在花時間進行徹底的測試,以確保能夠以安全的方式重新啟用該協議。我們正在研究引入一個組策略,允許IT管理員重新啟用該協議並控制其在組織內的使用。
你可以在官方公告中找到更多細節:
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479
