2024年10月28日更新
微软于2023年12月28日默认禁用App Installer中的ms-appinstaller URI方案处理程序,作为针对CVE-2021-43890先前防护措施演攻击技术的安全响应。微软很高兴宣布,在1.24.2411.0或更高版本中,我们已默认对ms-appinstaller URI方案处理程序引入新的防护措施,包括:
- 更新的用户体验
- 对目标下载URL的SmartScreen信誉检查
- 额外的IT专业控制
要了解更多新功能,请参阅App Installer安全功能。
客户行动——更新App Installer! 客户应将App Installer更新至1.24.2411.0或更高版本以受益于这些安全防护。有关如何更新App Installer的信息,请参阅安装和更新App Installer - MSIX | Microsoft Learn。
摘要
近几个月,微软威胁情报观察到威胁行为者利用社交工程和钓鱼技术针对Windows OS用户,并滥用ms-appinstaller URI方案。我们通过默认关闭ms-appinstaller来应对和缓解此恶意活动。此外,微软已与证书颁发机构协调,吊销了我们识别的恶意软件样本所滥用的代码签名证书。
检测到此攻击向量后,微软启动调查,确保Microsoft Defender for Endpoint和Microsoft Defender for Office中存在适当的检测以保护客户。
背景
微软最初在App Installer v1.0.12271.0中引入ms-appinstaller URI方案处理程序,以改善MSIX和MSIXBundle的安装体验。
最近观察到恶意活动,不良行为者使用ms-appinstaller URI方案处理程序欺骗用户安装恶意软件。我们强烈建议客户不要从未知网站安装应用。
缓解措施
2023年12月28日,微软更新CVE-2021-43890,默认禁用ms-appinstaller URI方案(协议),作为保护客户免受攻击者针对先前防护措施的演技术的安全响应。这意味着用户将无法再直接从网页使用MSIX包安装程序安装应用。相反,用户需要先下载MSIX包才能安装,这确保本地安装的防病毒保护将运行。
我们将继续监控未来的恶意活动,并持续改进以防止欺诈、钓鱼和一系列其他持续威胁。微软将保持警惕,因为攻击者继续演变其技术。请参阅微软威胁情报博客:经济动机威胁行为者滥用App Install器以获取更多详细信息和指导。
解决此问题
微软已在App Installer版本1.21.3421.0或更高版本中默认禁用ms-appinstaller URI方案处理程序,如果您未特别启用EnableMSAppInstallerProtocol,则无需进一步操作。
客户可以通过运行以下PowerShell命令检查系统上安装的App Installer版本:(Get-AppxPackage Microsoft.DesktopAppInstaller).Version
有关如何更新App Installer的信息,请参阅安装和更新App Install器。
如何确定您可能面临风险
- EnableMSAppInstallerProtocol组策略设置为“未配置”(空白)或“已启用”
- 您PC上安装的App Installer版本在v1.18.2691和v1.21.3421之间
- 2022年10月至2023年3月之间的以下Windows OS更新包含先前(易受攻击)版本的AppInstaller:
此外,使用v1.22.3452-preview或更低版本的客户也包含易受攻击的AppInstaller版本。
注意:(不推荐) 必须使用ms-appinstaller协议的客户仍可通过将组策略EnableMSAppInstallerProtocol设置为“已禁用”来使用App Installer。有关更多信息,请参阅策略CSP – DesktopAppInstaller。