遭滥用植入恶意程序，微软暂时关闭MSIX协议处理元件

游研社 • 2023年8月25日 15:50 • 投稿

因应Windows AppX安装程序被用以植入恶意程序，微软本周表示将暂时关闭MSIX协议处理器（protocol handler）缓解风险，等解决后再开启。

这项行动和微软于去年12月的Patch Tuesday修补的一批漏洞中，包含遭到公开开采的漏洞编号 CVE-2021-43890有关。微软指出，受这个漏洞影响，MSIX ms-appinstaller协议可被攻击者用来欺骗Windows电脑的App Installer安装恶意套件。 MSIX涵括（Windows默认）的MSI及（Windows 10新增的）APPX的新封装格式，可用以散布Win32、WPF及Windows Forms App。

在去年12月的安全公告中，微软指出，本漏洞被用来散布Emotet、Trickbot及Bazaloader等恶意程序。攻击者可利用钓鱼信件散布恶意附件、诱使用户开启文件以植入恶意程序。虽然本漏洞需要用户权限来执行程序，但如果用户账号具备管理员权限，后果更为严重。安全厂商ZDI指出，若结合权限扩张漏洞，则可能导致系统被接管。

微软表示，在解决这项漏洞之前，已暂时关闭ms-appinstaller 协议处理元件。这个器件是让用户只要点击链接就能从网站下载安装App，无需下载整个MSIX套件，有许多网站管理员爱用。

关闭ms-appinstaller协议处理元件意谓着，App Installer无法直接从网页服务器安装App，用户必须先下载App到装置上再安装具有App Installer的套件。这样会使部分套件下载体积变得很大。

微软建议网站管理员，如果网站用了ms-appinstaller协议，可将App下载链接中的「ms-appinstaller：？source=」移除，方便MSIX套件或App Installer档可下载到用户设备上。

至于何时可重新启动，微软表示目前正在研究以群组规则，让IT管理员可以安全重启这项协议，不过现在还在测试当中。微软并未说明明确时程。