微软应对App Installer滥用问题
2024年10月28日更新
微软于2023年12月28日默认禁用App Installer中的ms-appinstaller URI协议处理程序,以应对攻击者对CVE-2021-43890漏洞防护措施的绕过技术。现宣布在1.24.2411.0及以上版本中新增以下安全防护机制:
- 更新的用户安装体验流程
- 对目标下载URL执行SmartScreen信誉检查
- 增强的企业IT管理控制策略
技术细节请参阅App Installer安全功能文档。
用户操作指南
必须将App Installer升级至1.24.2411.0或更高版本。更新方法参见安装和更新App Installer。
技术背景分析
微软威胁情报团队发现攻击者通过社会工程学手段,诱导Windows用户触发ms-appinstaller协议安装恶意软件。我们已采取以下技术措施:
- 默认禁用协议处理程序
- 协调证书颁发机构吊销被滥用的代码签名证书
- 在Microsoft Defender for Endpoint和Defender for Office部署专项检测规则
协议演进与风险
ms-appinstaller协议最初在v1.0.12271.0版本引入,用于优化MSIX/MSIXBundle安装体验。近期攻击者通过伪造网页诱导用户直接执行恶意安装包。
技术缓解方案
| 措施类型 | 技术实现细节 |
|---|---|
| 默认禁用 | 2023年12月28日起,所有安装请求需先下载MSIX文件,触发本地杀毒软件扫描 |
| 版本控制 | 受影响版本范围:v1.18.2691至v1.21.3421 |
| 企业策略 | 组策略EnableMSAppInstallerProtocol可强制禁用协议 |
风险检测命令:
|
|
受影响系统补丁
- KB5023773 (19042.2788/19044.2788/19045.2788)
- KB5028171 (20348.1850)
- KB5023774 (22000.1761)
- KB5018496 (22621.755)