微软再次禁用MSIX协议处理程序 黑客群体正在利用该协议部署恶意软件

2022年2月微软为阻止勒索软件Emotet发起的攻击，直接在Windows10/11上禁用MSIX使用的处理协议ms-appinstaller。MXIS是微软在2018年基于MSI格式推出的增强版本，可以用来封装多种应用程序方便开发者选择合适的分发方式，该格式还支持Windows10/11内置的ms-appinstaller协议，点击即可调用该协议发起安装，一切都是无缝衔接的。

今天微软再次宣布禁用MSIX的ms-appinstaller处理协议，实际上禁用是从本月初开始的，微软现在才发布公告进行说明。

当然我们也并不清楚微软上次禁用MSIX的ms-appinstaller处理协议后是什么时候恢复的，反正现在再次禁用了，原因和Emotet相同，还是因为遭到了恶意软件的利用。

微软表示，攻击者利用CVE-2021-43890WindowsAppXInstaller欺骗漏洞来规避安全检查，这可以绕过MicrosoftDefenderSmartScreen(筛选器)、反恶意软件组件以及警告用户不要执行可执行文件的内置浏览器文件下载。

根据微软情报威胁中心收集的数据，自2023年11月中旬以来，不少黑客集团利用ms-appinstallerURL方案来分发恶意软件，还是用MicrosoftTeams来推送签名的恶意软件。

当用户点击这类封装的MSIX文件时，如果能调用ms-appinstaller处理协议，就会像下图这样，用户点击安装按钮后就会被部署。