Microsoft, kötü amaçlı yazılım saldırılarına karşı alınan bir önlem olarak MSIX ms-appinstaller protokol işleyicisini devre dışı bırakma kararı aldı. Birden fazla mali amaçlı tehdit grubunun, Windows kullanıcılarına kötü amaçlı yazılımlar bulaştırmak için bu protokolü kötüye kullanmasının ardından, Microsoft güvenlik önlemlerini atlatmak için CVE-2021-43890 Windows AppX Installer sahteciliği güvenlik açığından yararlanan saldırıları engellemek amacıyla bu adımı attı.
Saldırganlar, Defender SmartScreen kimlik avı, kötü amaçlı yazılımdan koruma bileşeni ve kullanıcıları yürütülebilir dosya indirmelerine karşı uyaran yerleşik tarayıcı uyarıları gibi güvenlik önlemlerini atlatmak için çeşitli yöntemler kullanarak, kullanıcıları kötü amaçlı yazılımlardan koruyan önlemleri aşmayı başardılar. Microsoft Tehdit İstihbaratı, tehdit aktörlerinin MSIX uygulama paketlerini göndermek için popüler yazılımların kötü amaçlı reklamları ve Microsoft Teams kimlik avı mesajları gibi taktikleri kullandığını belirtiyor.
Özellikle Sangria Tempest (FIN7) gibi mali amaçlı bilgisayar korsanlığı gruplarının, ms-appinstaller URI şemasını kullanarak kötü amaçlı yazılım dağıttıkları gözlemlenmiştir. Bu grupların, önceki fidye yazılımı operasyonlarına katıldıktan sonra daha önce REvil ve Maze fidye yazılımlarıyla ilişkilendirildiği bilinmektedir.
Microsoft, bu tür saldırıları engellemek ve güvenlik açıklarını kapatmak için MSIX dosya formatını ve ms-appinstaller protokol işleyicisini kötüye kullanan yazılım kitlerini hizmet olarak satan siber suçluların faaliyetlerini de tespit etmiştir.
Microsoft, bu güvenlik sorunlarına çözüm olarak MSIX ms-appinstaller protokol işleyicisini devre dışı bırakmanın yanı sıra, yamalı App Installer sürüm 1.21.3421.0 veya üstünün yüklenmesini ve Grup İlkesi EnableMSAppInstallerProtocol’ü Devre Dışı olarak ayarlayarak protokolü devre dışı bırakmayı önermektedir. Bu adımlar, istismar girişimlerini engelleyerek Windows kullanıcılarını daha güvenli hale getirmeyi amaçlamaktadır.