Microsoft geçen hafta, yükleyici bileşenindeki bir güvenlik açığının Emotet, TrickBot ve Bazaloader gibi kötü amaçlı yazılımlar sunmak için tehdit aktörleri tarafından kullanıldığına dair kanıtların ardından Windows’ta MSIX ms-appinstaller protokol işleyicisini geçici olarak devre dışı bıraktığını duyurdu.
MSIX.msi, .appx, App-V ve ClickOnce yükleme teknolojilerinin bir kombinasyonunu temel alan , geliştiricilerin uygulamalarını masaüstü işletim sistemi için dağıtmalarına ve diğer platformlar. ms-appinstaller, özellikle kullanıcılara yardımcı olmak için tasarlanmıştır bir Windows uygulaması yükleyin sadece bir web sitesindeki bir bağlantıya tıklayarak.
Ancak Windows App Installer’da (CVE-2021-43890CVSS puanı: 7.1), kimlik avı kampanyalarında kullanılan kötü amaçlı bir ek aracılığıyla, kullanıcı tarafından asla yüklenmesi amaçlanmayan hileli bir uygulamanın yüklenmesi için kandırılabileceği anlamına geliyordu.
Microsoft, Aralık 2021 Salı Yaması güncellemelerinin bir parçası olarak bu kusuru gidermek için ilk yamaları yayınlamış olsa da, şirket güvenlik açığını tamamen kapatmak ve daha fazla istismarı önlemek için çalışırken ms-appinstaller şemasını devre dışı bıraktı.
Dian Hartono, “Bu, Uygulama Yükleyici’nin bir uygulamayı doğrudan bir web sunucusundan kuramayacağı anlamına gelir” söz konusu. “Bunun yerine, kullanıcıların önce uygulamayı cihazlarına indirmeleri ve ardından paketi App Installer ile yüklemeleri gerekecek. Bu, bazı paketler için indirme boyutunu artırabilir.”
Protokol için Microsoft’un yanking desteğiyle, şirket ayrıca geliştiricilere, MSIX paketinin veya.appinstaller dosyasının indirilebilmesi için “ms-appinstaller:?source=” şemalarını kaldırarak web sitelerindeki uygulama indirme bağlantılarını güncellemelerini tavsiye ediyor.