https://therecord.media/microsoft-temporarily-disables-msix-protocol-handler-following-malware-abuse/
ただし、便宜上、MSIXパッケージのファイルは、「ms-appinstaller」プロトコルを介してインターネット経由で配信することもできます。
このような場合、MSIXプロトコルハンドラー(ms-appinstaller)は最初はマニフェストXMLファイルのみを提供し、OSは必要なファイルのみを取得するため、ユーザーの帯域幅を節約できます。
しかし、2021年11月下旬に、Emotetマルウェアボットネットのオペレーターは、エンタープライズユーザーに対する攻撃のためにms-appinstallerリンクを悪用し始めました。
しかし、PDFコンポーネントへのこのリンクは、実際にはAdobe署名ファイルをインストールすると主張する「ms-appinstaller://」でしたが、実際には、BazaarLoaderマルウェアのバージョンをインストールしました。
これらの攻撃の問題と、Microsoftがプロトコルハンドラーを無効にした理由は、EmotetギャングがMSIXパッケージファイルの署名をスプーフィングする方法を見つけたためです。
「Webサイトでms-appinstallerプロトコルを利用する場合は、アプリケーションへのリンクを更新し、「ms-appinstaller:source =」を削除して、MSIXパッケージまたはアプリインストーラーファイルがユーザーのマシンにダウンロードされるようにすることをお勧めします。」マイクロソフトは先週言った。
Microsoftは、マルウェアの悪用に続いてMSIXプロトコルハンドラーを一時的に無効にします。CatalinCimpanu
security summary
コメント