微软禁用MSIX在线安装协议：可欺骗用户安装恶意

近期，微软正式宣布，为了防止恶意攻击，已禁用MSIX应用安装器的 ms-appinstaller 协议的安装链接功能，等待漏洞解决后在开启。

据悉，MSIX是一种全新的安装包格式，可以视为现有MSI的升级版，仅支持Windows 10/11，MSIX的 ms-appinstaller  协议允许用户从服务器安装各种应用，无需先将其下载到本地。微软当时的想法是，这种方法可为用户节省存储空间。

该漏洞在去年12月的安全公告就已被披露，并且遭到公开，漏洞编号为CVE-2021-43890。

微软指出，此漏洞被用来散布Emotet、Trickbot及Bazaloader等恶意软件，攻击者可利用钓鱼邮件诱导用户点击链接，从而让用户的设备中招。

虽然此漏洞需要用户权限来执行，但如果用户账户具备管理员权限，后果更为严重。安全厂商ZDI指出，若结合权限扩张漏洞，则可能导致系统被接管。

微软建议网站管理员，如果使用了 ms-appinstaller 协议，可将下载链接中的 ms-appinstaller:?source= 移除，方便MSIX程序下载到用户设备上。

至于何时可重新使用，微软表示目前正在研究，正在测试当中，并未给出该功能恢复的时间。