微软禁用 MSIX AppX 安装程序以使用户免遭 Emotet、BazarLoader 类威胁

来源:知道创宇2022.02.08

微软今天正式宣布,它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序,而不需要先将其下载到本地存储。当时的想法是,这种方法将为用户节省空间,因为不需要下载整个MSIX包。

983d9aaa95ca27e

然而,这种Windows应用程序安装包后来被发现用来分发恶意的PDF文件,如Emotet和BazarLoader恶意软件。因此,该协议在去年被禁用,但今天才正式宣布。这个Windows AppX安装程序欺骗漏洞的ID被分配为CVE-2021-43890。

安全公告的贴文解释称:

我们最近被告知,MSIX的ms-appinstaller协议可以被恶意使用。具体来说,攻击者可以欺骗App Installer来安装一个用户并不打算安装的软件包。

目前,我们已经禁用了ms-appinstaller方案(协议)。这意味着App Installer将不能直接从网络服务器上安装一个应用程序。相反,用户将需要首先将应用程序下载到他们的设备上,然后用App Installer安装该软件包。这可能会增加一些软件包的下载大小。

以下是在网站上禁用该协议的方法:

如果你在你的网站上利用了ms-appinstaller协议,我们建议你更新你的应用程序的链接,删除’ms-appinstaller:?source=’字段,这样MSIX包或App Installer文件就会下载到用户的机器上再安装。

微软还表示,它正在研究如何在未来某个时候以安全的方式重新启用该协议,比如添加某些组策略。但就目前而言,上述的变通方法是防止恶意攻击的临时解决方案。

我们正在花时间进行彻底的测试,以确保能够以安全的方式重新启用该协议。我们正在研究引入一个组策略,允许IT管理员重新启用该协议并控制其在组织内的使用。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态