Microsoft deaktiviert den MSIX-Protokollhandler erneut; Hackergruppen nutzen das Protokoll aus, um Malware zu verbreiten

Um Angriffe der Ransomware Emotet zu verhindern, hat Microsoft im Februar 2022 das von MSIX unter Windows 10/11 verwendete Verarbeitungsprotokoll ms-appinstaller direkt deaktiviert. MXIS ist eine erweiterte Version, die 2018 von Microsoft auf Basis des MSI-Formats herausgebracht wurde. Sie kann zur Kapselung einer Vielzahl von Anwendungen verwendet werden, um Entwicklern die Auswahl der geeigneten Verteilungsmethode zu erleichtern. Das Format unterstützt auch das integrierte ms-appinstaller-Protokoll von Windows 10/11. Sie können dieses Protokoll aufrufen, um die Installation mit einem Klick zu starten, und alles verläuft reibungslos.

Heute hat Microsoft erneut das Verbot des ms-appinstaller-Verarbeitungsprotokolls von MSIX angekündigt. Tatsächlich begann das Verbot bereits Anfang dieses Monats, und Microsoft hat erst jetzt eine Erklärung zur Erklärung herausgegeben.

Natürlich wissen wir nicht, wann Microsoft das MSIX ms-appinstaller-Verarbeitungsprotokoll zuletzt deaktiviert und wiederhergestellt hat. Wie auch immer, es wurde jetzt wieder deaktiviert. Der Grund ist derselbe wie bei Emotet oder weil es von Malware ausgenutzt wurde.

Microsoft sagte, dass Angreifer die Windows-App CVE-2021-43890 ausgenutzt hätten

Den vom Microsoft Intelligence Threat Center gesammelten Daten zufolge nutzen viele Hackergruppen seit Mitte November 2023 das ms-appinstallerURL-Schema zur Verbreitung von Malware oder nutzen Microsoft Teams, um signierte Malware zu verbreiten.

Wenn der Benutzer auf diese Art von gekapselter MSIX-Datei klickt und ms-appinstaller aufgerufen werden kann, um das Protokoll zu verarbeiten, sieht es wie im Bild unten aus. Nachdem der Benutzer auf die Schaltfläche „Installieren“ geklickt hat, wird es bereitgestellt.