微軟將暫時關閉MSIX協定處理器(protocol handler),這項決定和去年12月的Patch Tuesday修補的一批漏洞中,包含遭到公開開採的漏洞編號 CVE-2021-43890有關。微軟指出,受這個漏洞影響,MSIX ms-appinstaller協定可被攻擊者用來欺騙Windows電腦的App Installer安裝惡意套件。

因應Windows AppX安裝程式被用以植入惡意程式,微軟本周表示將暫時關閉MSIX協定處理器(protocol handler)緩解風險,等解決後再開啟。

這項行動和微軟於去年12月的Patch Tuesday修補的一批漏洞中,包含遭到公開開採的漏洞編號 CVE-2021-43890有關。微軟指出,受這個漏洞影響,MSIX ms-appinstaller協定可被攻擊者用來欺騙Windows電腦的App Installer安裝惡意套件。MSIX涵括(Windows預設)的MSI及(Windows 10新增的)APPX的新封裝格式,可用以散布Win32、WPF及Windows Forms App。

在去年12月的安全公告中,微軟指出,本漏洞被用來散布Emotet、Trickbot及Bazaloader等惡意程式。攻擊者可利用釣魚信件散布惡意附件、誘使用戶開啟文件以植入惡意程式。雖然本漏洞需要用戶權限來執行程式,但如果用戶帳號具備管理員權限,後果更為嚴重。安全廠商ZDI指出,若結合權限擴張漏洞,則可能導致系統被接管。

微軟表示,在解決這項漏洞之前,已暫時關閉ms-appinstaller 協定處理元件。這個元件是讓用戶只要點擊連結就能從網站下載安裝App,無需下載整個MSIX套件,有許多網站管理員愛用。

關閉ms-appinstaller協定處理元件意謂著,App Installer無法直接從網頁伺服器安裝App,用戶必須先下載App到裝置上再安裝具有App Installer的套件。這樣會使部份套件下載體積變得很大。

微軟建議網站管理員,如果網站用了ms-appinstaller協定,可將App下載連結中的「ms-appinstaller:?source=」移除,方便MSIX套件或App Installer檔可下載到用戶裝置上。

至於何時可重新啟動,微軟表示目前正在研究以群組規則,讓IT管理員可以安全重啟這項協定,不過現在還在測試當中。微軟並未說明明確時程。

熱門新聞

Advertisement