Microsoft の ms-appinstaller プロトコルが無効化:マルウェア配信での悪用をストップ

Microsoft disables the ms-appinstaller protocol because it was abused to spread malware

2022/02/07 SecurityAffairs — Microsoft は、MSIX の ms-appinstaller プロトコルが、Emotet などのマルウェアに悪用されたことで、一時的に無効にしたと発表した。2021年12月に Microsoft は、Microsoft Windows に影響を与える AppXインストーラの脆弱性 CVE-2021-43890 に対処したが、この脆弱性は現在も悪用されている。

Microsoft が公開したアドバイザリには、「AppX インストーラにスプーフィングの脆弱性があり、Microsoft Windows に影響をおよぼすという報告を調査した。特別に細工されたパッケージを用いて、Emotet/Trickbot/Bazaloader などのマルウェア・ファミリーが、この脆弱性を悪用している実態を認識している。被害者を騙すためのフィッシング・メッセージとして送られてくる、特別に細工された添付ファイルを開かせることで、この脆弱性は攻撃者に悪用される」と記載されている。

MSIX とは、.msi/.appx/App-V/ClickOnce などのインストーラーをベースにした、新しいパッケージ・フォーマットのことである。MSIX は、既存のアプリのインストーラ・パッケージや、インストール・ファイルの機能を維持するが、Win32/WPF/WinForm アプリのための、最新のパッケージングおよびデプロイがントも可能にする。

ms-appinstaller プロトコル・ハンドラーを使用すると、ユーザーは Wen サイト上のリンクをクリックするだけでアプリケーションのインストールが可能となり、MSIX パッケージを完全にダウンロードする必要がなくなる。この機能は、脅威アクターにとって魅力的であり、また、マルスパム・キャンペーンで悪用を使い始めた。そして Microsoft は、これらのマルウェア・キャンペーンを防ぐために、ms-appinstaller プロトコルを一時的に無効にすることを選択した。

Microsoft が公開したアドバイザリには、「最近、MSIX の ms-appinstaller プロトコルが、悪意の行為者に使われる可能性があることが通知された。具体的には、攻撃者が App Installer を偽装し、ユーザーがインストールを意図していないパッケージを、インストールさせる可能性がある。したがって、現時点では ms-appinstaller のスキーム (プロトコル) を無効にしている」と記されている。

同社は、「それにより、App Installer は、Webサーバーからダイレクトにアプリをインストールすることができなくなった。その代わりに、ユーザーはアプリを自身のデバイスにダウンロードしてから、App Installer でパッケージをインストールする必要がある。したがって、一部のパッケージのダウンロードサイズが、大きくなる可能性もある」と付け加えている。

Microsoft では、このプロトコルを安全に利用するための、テストを実施している。新たなグループ・ポリシーを導入し、このプロトコルを IT 管理者が再有効化しても、組織内での使用を制御できるようにする計画を進めている。

Web サイトで ms-appinstaller プロトコルを使用しているユーザーには、アプリケーションへのリンクの更新が推奨される。具体的には、”ms-appinstaller:?source=” を削除することで、MSIX パッケージまたは App Installer ファイルが、ユーザーのマシンにダウンロードされるようにする。

最新のバージョンを使ってもらうための、簡単なインストール環境を実装すると、それがマルウェアに悪用されてしまうという話です。せっかくの、ms-appinstaller プロトコルが残念ですが、こうした試行錯誤があって、セキュリティが強化されていくのだと思います。こうした問題が公表され、情報がユーザーと共有されることで、次のステップが見えてくるはずです。

%d bloggers like this: