遭濫用植入惡意程式，微軟暫時關閉MSIX協定處理元件

因應Windows AppX安裝程式被用以植入惡意程式，微軟本周表示將暫時關閉MSIX協定處理器（protocol handler）緩解風險，等解決後再開啟。

這項行動和微軟於去年12月的Patch Tuesday修補的一批漏洞中，包含遭到公開開採的漏洞編號 CVE-2021-43890有關。微軟指出，受這個漏洞影響，MSIX ms-appinstaller協定可被攻擊者用來欺騙Windows電腦的App Installer安裝惡意套件。MSIX涵括（Windows預設）的MSI及（Windows 10新增的）APPX的新封裝格式，可用以散布Win32、WPF及Windows Forms App。

在去年12月的安全公告中，微軟指出，本漏洞被用來散布Emotet、Trickbot及Bazaloader等惡意程式。攻擊者可利用釣魚信件散布惡意附件、誘使用戶開啟文件以植入惡意程式。雖然本漏洞需要用戶權限來執行程式，但如果用戶帳號具備管理員權限，後果更為嚴重。安全廠商ZDI指出，若結合權限擴張漏洞，則可能導致系統被接管。

微軟表示，在解決這項漏洞之前，已暫時關閉ms-appinstaller 協定處理元件。這個元件是讓用戶只要點擊連結就能從網站下載安裝App，無需下載整個MSIX套件，有許多網站管理員愛用。

關閉ms-appinstaller協定處理元件意謂著，App Installer無法直接從網頁伺服器安裝App，用戶必須先下載App到裝置上再安裝具有App Installer的套件。這樣會使部份套件下載體積變得很大。

微軟建議網站管理員，如果網站用了ms-appinstaller協定，可將App下載連結中的「ms-appinstaller:?source=」移除，方便MSIX套件或App Installer檔可下載到用戶裝置上。

至於何時可重新啟動，微軟表示目前正在研究以群組規則，讓IT管理員可以安全重啟這項協定，不過現在還在測試當中。微軟並未說明明確時程。