背景圖片來源/Photo by Jr Korpa on Unsplash

由於遭到不同駭客組織的濫用,微軟再度於周四(12/28)宣布,於預設值中關閉MSIX的ms-appinstaller協定處理器。

MSIX為一Windows程式的套件格式,可替所有Windows程式提供現代化的封裝經驗,它除了支援對Win32、WPF 與Windows Forms 程式的現代化封裝及部署功能,也保留了現有程式套件與安裝檔案的功能,以讓用戶更容易將程式維持在最新狀態,同時確保流暢的安裝經驗。

而ms-appinstaller協定處理器的功用,則是允許使用者只要簡單地點選網站上的連結就能安裝應用程式,不必下載整個MSIX套件,是個非常受歡迎的經驗。

然而,根據微軟的觀察,自今年11月中旬以來,包括Storm-0569、Storm-1113、Sangria Tempest與Storm-1674等駭客組織,都利用了ms-appinstaller URI協定來散布惡意程式,為了避免客戶受到相關攻擊的影響,再加上微軟正在調查攻擊行動使用App Installer的狀況,決定於預設關閉ms-appinstaller協定處理器。

調查顯示,駭客對ms-appinstaller協定處理器的濫用可能造成勒索軟體攻擊,許多駭客組織甚至已開始銷售濫用MSIX檔案格式與ms-appinstaller協定處理器的惡意程式套件即服務,它們於合法熱門軟體上張貼惡意廣告,並於廣告所連結的網站上散布惡意的MSIX應用程式套件。

此外,駭客之所以選擇ms-appinstaller協定處理器來展開攻擊,或許是因為它能繞過Microsoft Defender SmartScreen,以及在下載執行檔時瀏覽器會跳出警告等安全機制。

2022年2月時,微軟也曾因為ms-appinstaller協定處理器遭到駭客濫用,而暫時關閉該功能

值得注意的是,一旦關閉該處理器,App Installer便無法再直接自網頁伺服器安裝程式,而必須先下載該程式。網站管理員應先移除'ms-appinstaller:?source=',以讓使用者下載MSIX套件或.appinstaller檔案,再藉由App Installer安裝套件。

熱門新聞

Advertisement