由于遭到不同骇客组织的滥用,微软再度于周四(12/28)宣布,于预设值中关闭MSIX的ms-appinstaller协定处理器。
MSIX为一Windows程式的套件格式,可替所有Windows程式提供现代化的封装经验,它除了支援对Win32、WPF 与Windows Forms 程式的现代化封装及部署功能,也保留了现有程式套件与安装档案的功能,以让用户更容易将程式维持在最新状态,同时确保流畅的安装经验。
而ms-appinstaller协定处理器的功用,则是允许使用者只要简单地点选网站上的连结就能安装应用程式,不必下载整个MSIX套件,是个非常受欢迎的经验。
然而,根据微软的观察,自今年11月中旬以来,包括Storm-0569、Storm-1113、Sangria Tempest与Storm-1674等骇客组织,都利用了ms-appinstaller URI协定来散布恶意程式,为了避免客户受到相关攻击的影响,再加上微软正在调查攻击行动使用App Installer的状况,决定于预设关闭ms-appinstaller协定处理器。
调查显示,骇客对ms-appinstaller协定处理器的滥用可能造成勒索软体攻击,许多骇客组织甚至已开始销售滥用MSIX档案格式与ms-appinstaller协定处理器的恶意程式套件即服务,它们于合法热门软体上张贴恶意广告,并于广告所连结的网站上散布恶意的MSIX应用程式套件。
此外,骇客之所以选择ms-appinstaller协定处理器来展开攻击,或许是因为它能绕过Microsoft Defender SmartScreen,以及在下载执行档时浏览器会跳出警告等安全机制。
2022年2月时,微软也曾因为ms-appinstaller协定处理器遭到骇客滥用,而暂时关闭该功能。
值得注意的是,一旦关闭该处理器,App Installer便无法再直接自网页伺服器安装程式,而必须先下载该程式。网站管理员应先移除’ms-appinstaller:?source=’,以让使用者下载MSIX套件或.appinstaller档案,再借由App Installer安装套件。