Microsoft je onemogućio protokol koji je omogućavao instalaciju Windows aplikacija, nakon što je otkrio da hakeri zloupotrijebljavaju mehanizam kako bi instalirali maliciozni softver.
Ova odluka donijeta je neposredno prije Božića i izgleda da je kopirala probleme koji su prvi put prijavljeni u decembru 2021, kako bi riješila ranjivost Windows AppX Installer-a (CVE-2021-43890), gdje napadač može prevariti App Installer da instalira zlonamjerni softver.
Microsoft je ponovo omogućio protokol po imenu ms-appinstaller URI scheme 5. avgusta 2022. godine, zajedno sa izdanjem Windows 11 Insider Preview Build 25147. Protokol je bio dostupan nekim poslovnim korisnicima koji su željeli da ga koriste putem Local Group Policy Editor-a.
ms-appinstaller URI scheme omogućava MSIX paket instalateru da instalira Windows aplikacije sa veb stranice koristeći lokalnu App Installer aplikaciju. Ovo omogućava instalaciju bez potrebe za lokalnim skladištenjem. To se pokazalo kao popularna funkcija, prema riječima Microsofta.
Nažalost, kako je prošle nedjelje primjetila Microsoft Threat Intelligence grupa, zločinci su zloupotrebljavali ms-appinstaller URI scheme kako bi distribuirali malver. Izgleda da je ovaj protokol pružao način da se zaobiđe sigurnosnih provjera koje je postavio Microsoft.
“Pretpostavlja se da su napadači vjerovatno izabrali vektor ms-appinstaller protokola jer može da zaobiđe mehanizme dizajnirane da zaštite korisnike od malvera, kao što su Microsoft Defender SmartScreen i ugrađena upozorenja browsera za preuzimanje izvršnih formata fajlova”, objasnio je Microsoft.
Microsoft se oslanjao na to da će developeri morati da potpišu pakete svojih aplikacija “sertifikatom treće strane od povjerenog sertifikacionog tijela”, ali očigledno je stavio previše povjerenja u takva tijela.
Nakon odluke da prošle nedjelje onemogući ms-appinstaller prema zadanim postavkama (u verziji App Installer-a 1.21.3421.0 ili višoj), Microsoft je objavio da sarađuje sa sertifikacionim tijelima “da povuče zloupotrebljene sertifikate za potpisivanje koda koje su koristili malverni uzorci koje smo identifikovali”.
Korisnicima koji imaju postavljenu EnableMSAppInstallerProtocol grupnu politiku na “Not Configured” (prazno) ili “Enabled”, a takođe koriste ranjive verzije App Installer-a – od v1.18.2691 do v1.21.3421, kao i Windows OS nadogradnje između oktobra 2022. i marta 2023. – savjetuje se da ažuriraju App Installer i postave željenu politiku.
Za poslovne korisnike, sprovođenje promene politike na nivou mreže može zahtijevati neki trud. A za one koji se oslanjaju na instalaciju putem veba kao kanala distribucije aplikacija, posljedica je malo više trenja prilikom preuzimanja i instalacije nakon odgovarajućih provjera.