应对Windows AppX安装程序被用以植入恶意程序,微软本周表示将暂时关闭MSIX协议处理器(protocol handler)缓解风险,等解决后再打开。
这项行动和微软于去年12月的Patch Tuesday修补的一批漏洞中,包含遭到公开开采的漏洞编号CVE-2021-43890有关。微软指出,受这个漏洞影响,MSIX ms-appinstaller协议可被攻击者用来欺骗Windows计算机的App Installer安装恶意组件。MSIX涵盖(Windows默认)的MSI及(Windows 10添加的)APPX的新封装格式,可用以传播Win32、WPF及Windows Forms App。
在去年12月的安全公告中,微软指出,本漏洞被用来传播Emotet、Trickbot及Bazaloader等恶意程序。攻击者可利用钓鱼信件传播恶意附件、诱使用户打开文件以植入恶意程序。虽然本漏洞需要用户权限来执行程序,但如果用户账号具备管理员权限,后果更为严重。安全厂商ZDI指出,若结合权限扩张漏洞,则可能导致系统被接管。
微软表示,在解决这项漏洞之前,已暂时关闭ms-appinstaller协议处理组件。这个组件是让用户只要点击连接就能从网站下载安装App,无需下载整个MSIX组件,有许多网站管理员爱用。
关闭ms-appinstaller协议处理组件意味着,App Installer无法直接从网页服务器安装App,用户必须先下载App到设备上再安装具有App Installer的组件。这样会使部分组件下载体积变得很大。
微软建议网站管理员,如果网站用了ms-appinstaller协议,可将App下载连接中的“ms-appinstaller:?source=”移除,方便MSIX组件或App Installer档可下载到用户设备上。
至于何时可重新启动,微软表示目前正在研究以群组规则,让IT管理员可以安全重启这项协议,不过现在还在测试其中。微软并未说明明确进程。