Microsoft heeft vorige week aangekondigd dat het de MSIX ms-appinstaller-protocolhandler in Windows tijdelijk uitschakelt na bewijs dat een beveiligingsprobleem in het installatieprogramma is misbruikt door bedreigingsactoren om malware zoals Emotet, TrickBot en Bazaloader te leveren.
MSIXgebaseerd op een combinatie van .msi, .appx, App-V en ClickOnce installatietechnologieën, is een universeel Windows app-pakketformaat waarmee ontwikkelaars hun applicaties voor het desktopbesturingssysteem kunnen distribueren en andere platforms. ms-appinstaller, in het bijzonder, is ontworpen om gebruikers te helpen installeer een Windows-app door simpelweg op een link op een website te klikken.
Maar een spoofing-kwetsbaarheid ontdekt in Windows App Installer (CVE-2021-43890CVSS-score: 7,1) betekende dat het misleid kon worden om een frauduleuze app te installeren die nooit bedoeld was om door de gebruiker te worden geïnstalleerd via een kwaadaardige bijlage die werd gebruikt in phishing-campagnes.
Hoewel Microsoft de eerste patches uitbracht om deze fout aan te pakken als onderdeel van de Patch Tuesday-updates van december 2021, heeft het bedrijf nu het ms-appinstaller-schema uitgeschakeld terwijl het werkt om het beveiligingslek te dichten en verdere exploitatie volledig te voorkomen.
“Dit betekent dat App Installer een app niet rechtstreeks vanaf een webserver kan installeren”, Dian Hartono zei. “In plaats daarvan moeten gebruikers eerst de app naar hun apparaat downloaden en vervolgens het pakket installeren met App Installer. Dit kan de downloadgrootte voor sommige pakketten vergroten.”
Nu Microsoft de ondersteuning voor het protocol weghaalt, raadt het bedrijf ontwikkelaars ook aan de app-downloadlinks op hun websites bij te werken door “ms-appinstaller:?source=”-schema’s te verwijderen, zodat het MSIX-pakket of.appinstaller-bestand kan worden gedownload.
