背景／Photo by Jr Korpa on Unsplash

由於遭到不同駭客組織的濫用，微軟再度於周四（12/28）宣布，於預設值中關閉MSIX的ms-appinstaller協定處理器。

MSIX為一Windows程式的套件格式，可替所有Windows程式提供現代化的封裝經驗，它除了支援對Win32、WPF 與Windows Forms 程式的現代化封裝及部署功能，也保留了現有程式套件與安裝檔案的功能，以讓用戶更容易將程式維持在最新狀態，同時確保流暢的安裝經驗。

而ms-appinstaller協定處理器的功用，則是允許使用者只要簡單地點選網站上的連結就能安裝應用程式，不必下載整個MSIX套件，是個非常受歡迎的經驗。

然而，根據微軟的觀察，自今年11月中旬以來，包括Storm-0569、Storm-1113、Sangria Tempest與Storm-1674等駭客組織，都利用了ms-appinstaller URI協定來散布惡意程式，為了避免客戶受到相關攻擊的影響，再加上微軟正在調查攻擊行動使用App Installer的狀況，決定於預設關閉ms-appinstaller協定處理器。

調查顯示，駭客對ms-appinstaller協定處理器的濫用可能造成勒索軟體攻擊，許多駭客組織甚至已開始銷售濫用MSIX檔案格式與ms-appinstaller協定處理器的惡意程式套件即服務，它們於合法熱門軟體上張貼惡意廣告，並於廣告所連結的網站上散布惡意的MSIX應用程式套件。

此外，駭客之所以選擇ms-appinstaller協定處理器來展開攻擊，或許是因為它能繞過Microsoft Defender SmartScreen，以及在下載執行檔時瀏覽器會跳出警告等安全機制。

2022年2月時，微軟也曾因為ms-appinstaller協定處理器遭到駭客濫用，而暫時關閉該功能。

值得注意的是，一旦關閉該處理器，App Installer便無法再直接自網頁伺服器安裝程式，而必須先下載該程式。網站管理員應先移除'ms-appinstaller:?source='，以讓使用者下載MSIX套件或.appinstaller檔案，再藉由App Installer安裝套件。