Schemat (protokół) URI (Uniform Resource Identifier) ms-appinstaller umożliwia instalowanie aplikacji bezpośrednio z serwera webowego. Gdy użytkownik kliknie link, App Installer jest automatycznie wywoływany. Bezpośrednie instalowanie za pomocą tego protokołu wprowadziła aktualizacja Windows 10 Fall Creators Update. Teraz zostało to domyślnie wyłączone w Windows 10 i Windows 11 z troski o bezpieczeństwo.
W ostatnich miesiącach Microsoft Threat Intelligence zaobserwował cyberprzestępców [threat actors] wykorzystujących socjotechnikę i techniki phishingu wymierzone w użytkowników Windows OS i korzystające ze schematu URI ms-appinstaller. Odpowiedzieliśmy i unieszkodliwiliśmy tę złośliwą aktywność, domyślnie wyłączając ms-appinstaller. Microsoft nawiązał też współpracę z Certificate Authorities w celu unieważnienia nadużytych certyfikatów do podpisywania kodu, wykorzystywanych przez zidentyfikowane przez nas próbki złośliwego oprogramowania. Po wykryciu tego wektora ataku Microsoft wszczął dochodzenie, aby upewnić się, że w Microsoft Defender for Endpoint i Microsoft Defender for Office występują odpowiednie wykrycia w celu ochrony naszych klientów.
— Microsoft Security Response Center (MSRC)
Microsoft wprowadził po raz pierwszy handler schematu URI ms-appinstaller w App Installer v1.0.12271.0, aby ulepszyć doświadczenie MSIX i MSIXBundles. Niedawno jednak firma zaobserwowała, jak cyberprzestępcy korzystają z tego protokołu, aby oszukać użytkowników i skłonić ich do instalacji złośliwego oprogramowania. 28 grudnia Microsoft zaktualizował CVE-2021-43890, aby wyłączyć domyślnie ten schemat.
Oznacza to, że użytkownicy nie będą już mogli instalować aplikacji bezpośrednio ze stron internetowych z użyciem instalatora pakietu MSIX. Zamiast tego użytkownicy będą musieli najpierw pobrać pakiet MSIX, aby móc go zainstalować. Pozwoli to się upewnić, że lokalna ochrona antywirusowa działa. Choć nie jest to zalecane, to klienci, którzy muszą używać protokołu ms-appinstaller, mogą nadal używać App Installera, ustawiając zasadę grupy EnableMSAppInstallerProtocol na Disabled.
Źródło: https://msrc.microsoft.com/blog/2023/12/microsoft-addresses-app-installer-abuse/
