Microsoft wyłączył protokół ms-appinstaller dla MSIX, aby chronić przed malware

Microsoft wyłączył protokół ms-appinstaller dla MSIX, aby chronić przed malware

Autor: Krzysztof Sulikowski

Opublikowano: 2/7/2022, 6:18 PM

Liczba odsłon: 1937

Microsoft ogłosił, że wyłączył obsługę protokołu MSIX ms-appinstaller, aby powstrzymać rozprzestrzenianie się malware i innych typowych zagrożeń, których celem są użytkownicy Windows. Zmiana wpływa głównie deweloperów, którzy mogą udostępniać pliki MSIX na swoich stronach internetowych. Usuwa ona też podatność w Windows, zgłoszoną w grudniu 2021.

Funkcja obsługi protokołu ("protocol handler") MSIX ms-appinstaller to funkcja Windows, która miała umożliwić użytkownikom instalowanie aplikacji bez konieczności pobierania całego pakietu MSIX. Jest ona używana przez wielu deweloperów, co pozwala ich klientom instalować aplikacje bezpośrednio z serwera. Korzystały jednak z niej również osoby o złych zamiarach. Jako przykład Microsoft wskazał, że instalator AppX był fałszowany w celu wstrzyknięcia złośliwego oprogramowania, takiego jak Emotet, Trickbot i Bazaloader.

Powiadomiliśmy ostatnio, że protokół ms-appinstaller dla MSIX może być używany w szkodliwy sposób. Konkretnie atakujący może spoofować App Installer, aby instalować pakiet, którego użytkownik nie miał zamiaru instalować. Ta podatność spoofingowa jest śledzona przez Microsoft Security Resource Center (MSRC), a szczegóły można znaleźć w CVE-2021-43890.

Aktywnie pracujemy nad zaadresowaniem tej luki. Na chwilę obecną wyłączyliśmy schemat (protokół) ms-appinstaller. Oznacza to, że App Installer nie będzie w stanie instalować aplikacji bezpośrednio z serwera webowego. Zamiast tego użytkownicy będą musieli najpierw pobrać aplikację na swoje urządzenie, a następnie zainstalować pakiet przez App Installer. Może to zwiększyć rozmiar pobierania niektórych pakietów.

— Dian Hartono, Program Manager w Microsoft

Microsoft aktywnie pracuje nad rozwiązaniem tego problemu, a pierwsza jego odpowiedź polega na wyłączeniu funkcji. Po testach i upewnieniu się, że jest to bezpieczne, protokół zostanie ponownie włączony. Gigant chce również stworzyć zasady grupy, aby administratorzy IT mogli ponownie włączyć protokół i kontrolować jego użycie w swojej organizacji.

Źródło: https://techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia