2022 年 2 月、Microsoft はランサムウェア Emotet による攻撃を防ぐために、Windows 10/11 上の MSIX で使用される処理プロトコル ms-appinstaller を直接無効にしました。 MXIS は、MSI 形式に基づいて Microsoft が 2018 年に発表した拡張バージョンです。MXIS を使用すると、さまざまなアプリケーションをカプセル化し、開発者が適切な配布方法を選択しやすくなります。この形式は、Windows 10/11 の組み込み ms-appinstaller プロトコルもサポートしています。このプロトコルを呼び出して、クリックするだけでインストールを開始でき、すべてがシームレスです。
本日、Microsoft は MSIX の ms-appinstaller 処理プロトコルの禁止を再度発表しました。実際、この禁止は今月初めに始まり、マイクロソフトは今になってようやく説明の発表を行ったところだ。
もちろん、Microsoft が最後に MSIX ms-appinstaller 処理プロトコルをいつ無効にして復元したのかはわかりません。とにかく、現在は再び無効になっています。理由はEmotetと同じか、マルウェアに悪用されたためです。
Microsoftは、攻撃者がCVE-2021-43890 Windowsアプリを悪用したと発表した
Microsoft Intelligence Threat Center が収集したデータによると、2023 年 11 月中旬以降、多くのハッカー グループが ms-appinstallerURL スキームを使用してマルウェアを配布したり、Microsoft Teams を使用して署名付きマルウェアをプッシュしたりしています。
ユーザーがこの種類のカプセル化された MSIX ファイルをクリックすると、ms-appinstaller を呼び出してプロトコルを処理できる場合は、次の図のように表示されます。ユーザーがインストール ボタンをクリックすると、インストールが開始されます。
Microsoftは企業に対し、脆弱性を修正したAppInstallerバージョン1.21.3421.0+にアップデートするよう呼び掛けている。新しいバージョンをすぐに展開できない場合、管理者はグループ ポリシー EnanleMSAppInstallerProtocol を使用して ms-appinstaller 処理プロトコルを無効にすることができます。