在2022年2月,微软为应对Emotet勒索软件的攻击,在Windows 10/11上禁用了MSIX使用的处理协议ms-appinstaller。MSIX是微软于2018年推出的增强版MSI格式,用于封装应用程序,支持内置的ms-appinstaller协议,使安装变得无缝衔接。然而,由于最近的恶意软件滥用,微软再次禁用了该协议。
禁用原因
微软表示,攻击者利用CVE-2021-43890 Windows AppX Installer欺骗漏洞规避安全检查,绕过Microsoft Defender SmartScreen、反恶意软件组件,并欺骗用户执行可执行文件的内置浏览器文件下载。黑客团体自2023年11月中旬以来,不断利用ms-appinstaller URL方案分发恶意软件,甚至通过Microsoft Teams推送签名的恶意软件。
如何被攻击
当用户点击仿冒的PDF预览器等封装的MSIX文件时,如果能调用ms-appinstaller处理协议,用户点击安装后就会被部署,如下图所示:
微软再次禁用MSIX的ms-appinstaller处理协议,以应对不断增加的黑客团体利用该协议部署恶意软件的情况。
防范措施
微软建议企业更新到已修复漏洞的App Installer版本支持1.21.3421.0+。如果无法立即部署新版本,管理员可以通过组策略EnableMSAppInstallerProtocol禁用ms-appinstaller处理协议。
表格总结
以下表格总结了关键信息:
| 禁用对象 | MSIX的ms-appinstaller处理协议 |
|---|---|
| 禁用原因 | Emotet攻击及其他恶意软件的滥用 |
| 利用漏洞 | CVE-2021-43890 Windows AppX Installer |
| 最新支持版本 | App Installer 1.21.3421.0+ |
| 防范措施 | 更新至最新版本或通过组策略禁用协议 |
结语
微软的最新举措旨在保护用户免受Emotet等勒索软件的攻击,尤其是在利用ms-appinstaller处理协议传播恶意软件的情况下。用户和企业应密切关注并采取相应的防范措施,以确保系统的安全性和稳定性。
