Microsoft 现在允许企业管理员重新启用在 Emotet 滥用它来提供恶意 Windows App Installer 程序包后禁用的 MSIX ms-appinstaller 协议处理程序。

App Installer（也称为 AppX Installer）允许用户使用 MSIX 包或 App Installer 文件直接从 Web 服务器安装 Windows 应用程序，而无需先将安装程序下载到他们的计算机上。
微软禁用了 ms-appinstaller 方案 ，以回应正在进行的 Emotet 攻击利用零日 Windows AppX Installer 欺骗漏洞的报告，迫使用户在使用 App Installer 安装应用程序包之前将其下载到他们的设备。
“我们认识到此功能对许多企业组织至关重要。我们正在花时间进行彻底的测试，以确保可以以安全的方式重新启用协议，”微软项目经理 Dian Hartono 在宣布协议关闭时说.

“我们正在考虑引入一个组策略，允许 IT 管理员重新启用协议并控制其在组织内的使用。”

如何重新启用 ms-appinstaller 协议
根据 Hartono 的更新，微软终于设法解决了这个问题，现在它允许管理员通过安装最新的 App Installer 版本 (1.17.10751.0) 并启用组策略来重新打开协议处理程序。

在无法使用基于 Internet 的安装程序部署 App Installer 更新的系统上，Microsoft 还在 Microsoft 下载中心（下载链接）上提供了离线版本。

下载并部署桌面应用程序安装程序策略并选择“启用应用程序安装程序 ms-appinstaller 协议”后，将重新启用应用程序安装程序功能。

您可以通过组策略编辑器执行此操作，方法是转到计算机配置 > 管理模板 > Windows 组件 > 桌面应用程序安装程序。

“您需要同时启用最新的 App Installer 应用程序和 Desktop App Installer 策略才能使用 MSIX 的 ms-appinstaller 协议，”Hartono 补充说。

ms-appinstaller 被滥用来推送恶意软件
Emotet 从 2021 年 12 月上旬开始使用伪装成 Adob​​e PDF 软件的恶意 Windows AppX 安装程序包来感染网络钓鱼活动中的 Windows 设备。

僵尸网络的网络钓鱼电子邮件使用被盗的回复链电子邮件，指示收件人打开与先前对话相关的 PDF。

但是，嵌入的链接不是打开 PDF，而是将收件人重定向到将启动 Windows 应用程序安装程序并要求他们安装恶意的“Adobe PDF 组件”。

应用安装程序提示安装伪造的 Adob​​e PDF 组件 (ZZQIDC)
虽然看起来就像一个合法的 Adob​​e 应用程序，但 App Installer 在目标单击“安装”按钮后下载并安装了托管在 Microsoft Azure 上的恶意 appxbundle。

您可以在我们之前关于 12 月活动的报告中找到更多详细信息，包括 Emotet 滥用 Windows App Installer 漏洞的方式。

还利用相同的欺骗漏洞通过 *.web.core.windows.net URL 使用托管在 Microsoft Azure 上的恶意程序包来分发 BazarLoader恶意软件。

“我们已经调查了 AppX 安装程序中影响 Microsoft Windows 的欺骗漏洞的报告，”微软解释说。

“Microsoft 知道通过使用包含名为 Emotet/Trickbot/Bazaloader 的恶意软件系列的特制软件包来尝试利用此漏洞的攻击。”