Microsoft принимает меры против хакерских атак, отключение MSIX ms-appinstaller

Microsoft обнародовала новости о временном отключении обработчика протокола MSIX ms-appinstaller из-за злоупотреблений со стороны нескольких хакерских группировок. Эти злоумышленники используют уязвимость CVE-2021-43890 в Windows AppX Installer для распространения вредоносных пакетов MSIX-приложений.

Специалисты Microsoft Threat Intelligence выявили активность финансово мотивированных субъектов, таких как Storm-0569, Storm-1113, Sangria Tempest и Storm-1674, которые использовали схему URI ms-appinstaller для распространения вредоносного ПО. Злоупотребление обработчика протокола ms-appinstaller создает потенциальную угрозу безопасности для пользователей Windows.

Хакеры прибегают к различным методам, включая вредоносную рекламу и фишинговые сообщения в Microsoft Teams, для распространения вредоносных пакетов MSIX-приложений. Это может привести к заражению систем и распространению вымогательских угроз.

Microsoft уже ранее отключала обработчик протокола MSIX в феврале 2023 года в связи с атаками ботнета Emotet. MSIX, формат упаковки файлов для Windows 10, оказывается уязвимым из-за особенности доставки файлов через интернет с использованием ms-appinstaller.

Несмотря на заявление Microsoft о последнем отключении обработчика 28 декабря 2023 года, сообщения пользователей свидетельствуют о его деактивации ранее в этом месяце. Пока неясно, почему Microsoft вновь включила Windows App Installer после предыдущей деактивации в феврале.

Для обеспечения безопасности, Microsoft рекомендует установить исправленную версию App Installer и обновиться до версии 1.21.3421.0 или выше. Также администраторам рекомендуется отключить протокол через Group Policy, если невозможно установить последнюю версию. Эти шаги направлены на предотвращение возможных злоупотреблений и обеспечение надежной защиты от атак.