在多个出于经济动机的威胁团体滥用 MSIX ms-appinstaller 协议处理程序以恶意软件感染 Windows 用户后，微软再次禁用了 MSIX ms-appinstaller 协议处理程序。

攻击者利用 CVE-2021-43890 Windows AppX Installer 欺骗漏洞来规避安全措施，这些措施可以保护 Windows 用户免受恶意软件的侵害，例如 Defender SmartScreen 反网络钓鱼和反恶意软件组件以及警告用户不要执行可执行文件的内置浏览器警报文件下载。

Windows 11

微软表示，威胁行为者使用流行软件的恶意广告和 Microsoft Teams 网络钓鱼消息来推送签名的恶意 MSIX 应用程序包。

微软公司表示
“自 2023 年 11 月中旬以来，Microsoft 威胁情报观察到威胁行为者，包括 Storm-0569、Storm-1113、Sangria Tempest 和 Storm-1674 等出于经济动机的行为者，利用 ms-appinstaller URI 方案（应用程序安装程序）分发恶意软件 ”。

“观察到的威胁行为者活动滥用了 ms-appinstaller 协议处理程序的当前实现，作为可能导致勒索软件分发的恶意软件的访问向量。多个网络犯罪分子还以滥用 MSIX 文件格式和 ms- 应用程序安装程序协议处理程序。”

Sangria Tempest（又名 FIN7）以经济为动机的黑客组织在参与现已解散的 BlackMatter 和 DarkSide 勒索软件操作后，曾与 REvil 和 Maze 勒索软件有联系。

在 BleepingComputer 看到的一份微软私人威胁分析报告中，FIN7 还与利用 Clop 勒索软件针对 PaperCut 打印服务器的攻击有关。

Emotet 和 BazarLoader 恶意软件攻击

两年多前，Emotet 还在 2021 年 12 月使用伪装成 Adobe PDF 软件的恶意 Windows AppX Installer 软件包来感染 Windows 10 和 Windows 11 系统。

此外，AppX 安装程序欺骗漏洞还被利用，通过 Microsoft Azure 上托管的恶意程序包和 *.web.core.windows.net URL 来分发 BazarLoader 恶意软件。

微软此前于 2022 年 2 月禁用了 ms-appinstaller 协议处理程序，以阻止 Emotet 的攻击。

由于在这些攻击中受到损害的设备也可能成为勒索软件的目标，因此雷蒙德本月早些时候再次禁用了 ms-appinstaller 协议处理程序。

虽然微软表示该功能已于今天（2023 年 12 月 28 日）默认禁用，但其他人报告称该更改已于本月初推出。 然而，目前尚不清楚微软何时以及为何在 2022 年 2 月至 2023 年 12 月期间重新启用 Windows 应用安装程序。

今天，微软建议安装已修补的 App Installer 版本 1.21.3421.0 或更高版本，以阻止利用尝试。

微软公司还建议无法立即部署最新应用程序安装程序版本的管理员通过将组策略 EnableMSAppInstallerProtocol 设置为禁用来禁用该协议。