Microsoft禁用應用程序安裝程序功能，防止功能被惡意軟件濫用

根據Microsoft威脅情報團隊的說法，被標記為“出于經濟動機”的威脅參與者利用ms-appinstaller URI方案進行惡意軟件分發。Microsoft已禁用應用程序安裝程序功能，以保護用戶并防止威脅行為者惡意利用其產品和功能。

據Microsoft威脅情報報告，ms-appinstaller URI方案允許用戶使用MSIX包安裝程序直接從網站下載和安裝應用程序，該方案在惡意活動中被濫用。

研究人員發現，“出于經濟動機”的威脅行為者使用ms-appinstaller URI方案進行惡意軟件分發，促使Microsoft默認禁用該協議處理程序。

供您參考，ms-appinstaller URI方案可讓網站跳過下載和安裝步驟，直接無縫方便地安裝應用程序。

然而，微軟安全響應中心（MSRC）發現網絡犯罪分子通過“社會工程和網絡釣魚技術”濫用該功能，讓人們通過該協議下載惡意應用程序。

據報道，它被用作惡意軟件的訪問向量，可能導致勒索軟件分發。網絡犯罪分子正在銷售利用 MSIX 文件格式和處理程序的惡意軟件套件。他們通過網站和流行軟件的惡意廣告分發簽名的惡意軟件包。

威脅行為者可能選擇此向量，因為它可以繞過Microsoft Defender SmartScreen等安全措施和下載可執行文件時的瀏覽器警告。這項活動的程度仍然未知。然而，多個威脅行為者正在濫用此功能。

選擇此向量可能是因為它可以繞過Microsoft Defender SmartScreen等安全措施以及下載可執行文件時的瀏覽器警告。這項活動的程度仍然未知。然而，多個威脅行為者正在濫用此功能。

根據Mircosoft的博客文章，11月中旬，微軟檢測到Storm-1113的EugenLoader惡意軟件通過模仿Zoom應用程序的搜索廣告傳播。當有人訪問受感染的網站時，會下載惡意 MSIX 安裝程序以及其他有效負載，包括Gozi、Redlinestealer、IcedID、Smoke Loader、NetSupport Manager、 Sectop RAT和Lummastealer等惡意軟件。

同月，網絡犯罪組織Sangria Tempest使用EugenLoader和Carbanak后門傳播惡意軟件植入。它還使用Google廣告來引誘用戶下載惡意MSIX軟件包，從而導致POWERTRASH的傳送，該程序會加載NetSupport和Gracewire（通常與Lace Tempest 相關）。

12月初，Storm-0569被發現通過SEO中毒分發BATLOADER，欺騙Zoom、Tableau、TeamViewer和AnyDesk等合法軟件下載。

大約在同一時間，Storm-1674通過Teams上的消息傳遞虛假登陸頁面，欺騙OneDrive和SharePoint等Microsoft服務。威脅行為者創建的租戶引誘用戶下載欺騙性應用程序，可能會刪除SectopRAT或DarkGate。

MSRC發布了CVE-2021-43890的“重要”安全更新，該更新禁用App Installer版本1.21.3421.0中的ms-appinstaller URI方案處理程序。這意味著用戶無法使用此協議從網站下載和安裝應用程序。

相反，MSIX包會下載到存儲設備，用戶必須手動安裝該應用。微軟將繼續監控惡意活動，并建議不要從未知網站下載或安裝應用程序。

為了減少威脅，Microsoft建議為用戶實施防網絡釣魚的身份驗證方法，為員工和關鍵應用程序的外部用戶實施條件訪問身份驗證強度，并教育Microsoft Teams用戶驗證通信嘗試的外部標記。