2022 年2 月微軟為阻止勒索軟體Emotet 發動的攻擊，直接在Windows 10/11 上停用MSIX 使用的處理協定ms-appinstaller。MXIS 是微軟在2018 年基於MSI 格式推出的增強版本，可以用來封裝多種應用程式方便開發者選擇合適的分發方式，該格式還支援Windows 10/11 內建的ms-appinstaller 協議，點擊即可調用協議發起安裝，一切都是無縫銜接的。

今天微軟再次宣布禁用MSIX 的ms-appinstaller 處理協議，實際上禁用是從本月初開始的，微軟現在才發佈公告進行說明。

當然我們也不清楚微軟上次停用MSIX 的ms-appinstaller 處理協定後是什麼時候恢復的，反正現在又停用了，原因和Emotet 相同，還是因為遭到了惡意軟體的利用。

微軟表示，攻擊者利用CVE-2021-43890 Windows AppX Installer 欺騙漏洞來規避安全檢查，這可以繞過Microsoft Defender SmartScreen (篩選器)、反惡意軟體元件以及警告用戶不要執行可執行文件的內建瀏覽器文件下載。

根據微軟情報威脅中心收集的數據，自2023 年11 月中旬以來，不少駭客集團利用ms-appinstaller URL 方案來分發惡意軟體，還是用Microsoft Teams 來推送簽署的惡意軟體。

當使用者點擊這類封裝的MSIX 檔案時，如果能呼叫ms-appinstaller 處理協議，就會像下圖這樣，使用者點擊安裝按鈕後就會部署。

從圖片中可以看到這個仿冒的PDF 預覽器還是有簽名的，只不過簽名也是呼叫的。

微軟提醒企業更新到已修復漏洞的App Installer 版本支1.21.3421.0+，如果無法立即部署新版本，那管理員可以透過群組原則EnanleMSAppInstallerProtocol 停用ms-appinstaller 處理協定。