Компания Microsoft объявила об отключении протокола ms-appinstaller установщика приложений MSIX в Windows 10 и Windows 11 для предотвращения распространения вредоносного программного обеспечения, такого как BazarLoader и Emotet. В дальнейшем софтверный гигант планирует интегрировать в операционные системы групповую политику, которая позволит администраторам сетей активировать упомянутый протокол и контролировать его работу.
Протокол ms-appinstaller позволяет осуществлять установку разных приложений непосредственно с веб-сайта без необходимости предварительного скачивания MSIX-файла на локальный носитель. Идея заключается в том, чтобы помочь пользователям экономить место, поскольку не требуется осуществлять загрузку всего пакета MSIX. Оказалось, что пакеты MSIX используются злоумышленниками для распространения вредоносного ПО. Хотя на самом деле упомянутый протокол был отключен ещё в прошлом году, официально об этом объявили только сейчас. Уязвимость, которая позволяет распространять вредоносное ПО таким образом, отслеживается под идентификатором CVE-2021-43890.
«Недавно мы были уведомлены о том, что протокол ms-appinstaller в MSIX может использоваться злонамеренно. Например, злоумышленники могут подделывать установщик приложений, чтобы осуществить загрузку пакета, который пользователь не собирался устанавливать <…> На данный момент мы отключили протокол ms-appinstaller. Это означает, что установщик приложений не сможет напрямую загружать приложения с веб-сайтов. Вместо этого пользователям потребуется сначала загрузить приложение на своё устройство, а затем выполнить его установку», — говорится в сообщении Microsoft.
Согласно имеющимся данным, сейчас разработчики из Microsoft тестируют проблемный протокол, чтобы убедиться, что он будет полностью безопасным для пользователей после его повторной активации. Для корпоративных клиентов Microsoft создаст специальную групповую политику, которая позволит администраторам контролировать функционирование ms-appinstaller.
