由于遭到不同黑客组织的滥用,微软再度于周四(12/28)宣布,于预设值中关闭MSIX的ms-appinstaller协议处理器。
MSIX为一Windows程序的套件格式,可替所有Windows程序提供现代化的封装经验,它除了支持对Win32、WPF 与Windows Forms 程序的现代化封装及部署功能,也保留了现有程式套件与安装文件的功能,以让用户更容易将程序维持在最新状态,同时确保流畅的安装经验。
而ms-appinstaller协议处理器的功用,则是允许用户只要简单地点选网站上的连结就能安装应用程序,不必下载整个MSIX套件,是个非常受欢迎的经验。
然而,根据微软的观察,自今年11月中旬以来,包括Storm-0569、Storm-1113、Sangria Tempest与Storm-1674等黑客组织,都利用了ms-appinstaller URI协议来散布恶意程序,为了避免客户受到相关攻击的影响,再加上微软正在调查攻击行动使用App Installer的状况, 决定于预设关闭ms-appinstaller协议处理器。
调查显示,黑客对ms-appinstaller协议处理器的滥用可能造成勒索软件攻击,许多黑客组织甚至已开始销售滥用MSIX文件格式与ms-appinstaller协议处理器的恶意程式套件即服务,它们于合法热门软件上张贴恶意广告,并于广告所链接的网站上散布恶意的MSIX应用程序套件。
此外,黑客之所以选择ms-appinstaller协议处理器来展开攻击,或许是因为它能绕过Microsoft Defender SmartScreen,以及在下载执行档时浏览器会跳出警告等安全机制。
2022年2月时,微软也曾因为ms-appinstaller协议处理器遭到黑客滥用,而暂时关闭该功能。
值得注意的是,一旦关闭该处理器,App Installer便无法再直接自网页服务器安装程序,而必须先下载该程序。 网站管理员应先移除’ms-appinstaller:?source=’,以让用户下载MSIX套件或.appinstaller文件,再藉由App Installer安装套件。
