Microsoft отключила протокол ms-appinstaller, чтобы предотвратить распространение вредоносного ПО

Автор:

Компания Microsoft объявила об отключении протокола ms-appinstaller, относящегося к «Установщику приложений» (Microsoft App Installer) в Windows 10 и Windows 11, поскольку он используется злоумышленниками для распространения вредоносного ПО, такого как Emotet и BazarLoader. Стоит отметить, что на самом деле протокол был отключён ещё в прошлом году, но официальное заявление об этом появилось только сейчас.

Протокол ms-appinstaller позволяет пользователям устанавливать различные приложения с помощью перехода по ссылке на веб-сайте без необходимости предварительно скачивать MSIX-файл на локальный носитель. Обнаруженная уязвимость CVE-2021-43890 позволяет злоумышленникам маскировать вредоносное ПО под программу известного бренда, так что неопытный пользователь может легко разрешить установку этого пакета на компьютере.

В настоящее время Microsoft проводит тщательное тестирование протокола, чтобы убедиться, что повторное включение функции не приведёт к новым проблемам с безопасностью. В компании также понимают, что этот протокол очень важен для корпоративных клиентов, поэтому рассматривается возможность добавления групповой политики, которая позволит IT-специалистам вручную включать протокол и контролировать его работу в организации.