Microsoft ogłosił, że wyłączył obsługę protokołu MSIX ms-appinstaller, aby powstrzymać rozprzestrzenianie się malware i innych typowych zagrożeń, których celem są użytkownicy Windows. Zmiana wpływa głównie deweloperów, którzy mogą udostępniać pliki MSIX na swoich stronach internetowych. Usuwa ona też podatność w Windows, zgłoszoną w grudniu 2021.
Funkcja obsługi protokołu ("protocol handler") MSIX ms-appinstaller to funkcja Windows, która miała umożliwić użytkownikom instalowanie aplikacji bez konieczności pobierania całego pakietu MSIX. Jest ona używana przez wielu deweloperów, co pozwala ich klientom instalować aplikacje bezpośrednio z serwera. Korzystały jednak z niej również osoby o złych zamiarach. Jako przykład Microsoft wskazał, że instalator AppX był fałszowany w celu wstrzyknięcia złośliwego oprogramowania, takiego jak Emotet, Trickbot i Bazaloader.
Powiadomiliśmy ostatnio, że protokół ms-appinstaller dla MSIX może być używany w szkodliwy sposób. Konkretnie atakujący może spoofować App Installer, aby instalować pakiet, którego użytkownik nie miał zamiaru instalować. Ta podatność spoofingowa jest śledzona przez Microsoft Security Resource Center (MSRC), a szczegóły można znaleźć w CVE-2021-43890.
Aktywnie pracujemy nad zaadresowaniem tej luki. Na chwilę obecną wyłączyliśmy schemat (protokół) ms-appinstaller. Oznacza to, że App Installer nie będzie w stanie instalować aplikacji bezpośrednio z serwera webowego. Zamiast tego użytkownicy będą musieli najpierw pobrać aplikację na swoje urządzenie, a następnie zainstalować pakiet przez App Installer. Może to zwiększyć rozmiar pobierania niektórych pakietów.
— Dian Hartono, Program Manager w Microsoft
Microsoft aktywnie pracuje nad rozwiązaniem tego problemu, a pierwsza jego odpowiedź polega na wyłączeniu funkcji. Po testach i upewnieniu się, że jest to bezpieczne, protokół zostanie ponownie włączony. Gigant chce również stworzyć zasady grupy, aby administratorzy IT mogli ponownie włączyć protokół i kontrolować jego użycie w swojej organizacji.