Microsoftが「Windows App Installer」機能を無効化した。この機能は、2021年12月の月例セキュリティパッチ「Patch Tuesday」で、不要なアプリをインストールさせる目的で積極的に悪用されていることが明かされていた。
この脆弱性はWindowsドメインにとって厄介なものであり、Microsoftは、攻撃者がこの脆弱性を利用して特別な細工が施されたパッケージをインストールし、「Emotet」「Trickbot」「Bazaloader」マルウェアファミリーを拡散させていることを認めた。
「Windows AppX Installer」は、ユーザーが.appxパッケージをインストールすることを可能にする「Windows 10」の機能だ。
Microsoftは、「MSIX Windows」アプリパッケージ形式の「ms-appinstaller」プロトコルが無効化された理由を説明するブログ記事を公開した。同ブログ記事によると、攻撃者はそのプロトコルを使用して、「App Installerを偽装し、ユーザーがインストールするつもりのないパッケージをインストールさせる」ことができるという。
現在のところ、Microsoftは「CVE-2021-43890」に関する12月のアドバイザリーで説明された脆弱性に完全には対処していないようだ。プロトコルが無効になったことで、管理者は、一部のアプリパッケージのダウンロードサイズが大きくなることに気づくかもしれない。また、企業は、例えば「Microsoft Store」ではなくウェブページから直接アプリを配布することができなくなる。
Microsoftはブログ投稿で、「われわれは、この脆弱性に積極的に対処している」と述べた。「さしあたって、ms-appinstallerスキーム(プロトコル)を無効にした。つまり、App Installerはウェブサーバーから直接アプリをインストールできなくなる。代わりに、ユーザーは最初にアプリをデバイスにダウンロードした後、App Installerを使用してパッケージをインストールする必要がある。これにより、一部のパッケージのダウンロードサイズが大きくなる可能性もある」
Microsoftが説明しているように、MSIXはレガシーWindowsアプリに「最新のパッケージ化体験」を提供する。「MSIXパッケージ形式は、『Win32』『WPF』、および『Windows Forms』アプリに最新のパッケージ化および展開機能を提供するだけでなく、既存のアプリパッケージやインストールファイルの機能も維持する」(同社)
Microsoftは、ms-appinstallerの無効化を反映させるため、ウェブページからのWindows 10アプリのインストールに関するページも更新した。
Microsoftは、プロトコルを再度有効にできるようになるまでの回避策をいくつか検討しており、これには、「IT管理者がプロトコルを再度有効にして、組織内でのプロトコルの使用を制御できるようにするグループポリシーの導入」が含まれる。
ただし、同社は、「この機能が多くの企業組織にとって重要であることを認識している。プロトコルの再有効化を安全に実行できることを確認するために、現在、時間をかけて徹底的なテストを実施しているところだ」とも述べている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。