微软应对App Installer滥用的技术措施
概要
过去数月,微软威胁情报发现威胁分子通过社交工程和钓鱼手段,滥用ms-appinstaller URI协议攻击Windows用户。为应对此恶意活动,微软已默认禁用ms-appinstaller协议,并与证书机构合作吊销被恶意软件滥用的代码签名证书。微软 Defender for Endpoint 和 Microsoft Defender for Office 已部署相应检测机制。
背景
微软最初在App Installer v1.0.12271.0中引入ms-appinstaller URI协议处理器,用于提升MSIX和MSIXBundles的安装体验。近期发现恶意分子利用该协议诱骗用户安装恶意软件。微软强烈建议用户勿从未知网站安装应用。
缓解措施
2023年12月28日,微软更新CVE-2021-43890,默认禁用ms-appinstaller URI协议。用户无法直接从网页安装MSIX包,需先下载再安装,确保本地防病毒保护生效。微软将持续监控恶意活动并改进防护机制。
问题处理方案
App Installer v1.21.3421.0及以上版本已默认禁用该协议。若未启用EnableMSAppInstallerProtocol组策略,无需额外操作。可通过以下PowerShell命令检查版本:
|
|
风险判定方法
存在风险的条件包括:
- EnableMSAppInstallerProtocol组策略设为"未配置"或"启用"
- App Installer版本为v1.18.2691至v1.21.3421
- 2022年10月至2023年3月期间的Windows更新包含脆弱版本(具体KB号见原文)
- 预览版v1.22.3452及更早版本