Microsoft cho phép người dùng kích hoạt lại Windows App installer

Microsoft vừa cho phép quản trị viên của các doanh nghiệp, tổ chức kích hoạt lại trình xử lý giao thức MSIX ms-appinstaller. Windows App Installer từng bị vô hiệu hóa để tránh bị mã độc Emotet lạm dụng.

App Installer (còn được gọi là AppX Installer) cho phép người dùng cài đặt ứng dụng trực tiếp từ một máy chủ web bằng gói MSIX hoặc tệp App Installer mà không cần tải trình cài đặt xuống máy tính trước.

Microsoft đã vô hiệu hóa lượt đồ ms-appinstaller để phản ứng lại các báo cáo về việc mã độc Emotet đang khai thác lỗ hổng zero-day giả mạo Windows AppX Installer, buộc người dùng tải xuống máy của họ các gói ứng dụng trước khi cài đặt chúng bằng App Installer.

"Chúng tôi nhận ra rằng tính năng này rất quan trọng với nhiều tổ chức, doanh nghiệp. Chúng tôi đang dành thời gian để tiến hành kiểm tra kỹ lưỡng nhằm đảm bảo rằng việc kích hoạt lại giao thức này có thể được thực hiện một cách an toàn", Dian Hartono, giám đốc chương trình của Microsoft chia sẻ.

"Chúng tôi đang xem xét việc cho ra mắt một chính sách nhóm (Group Policy) cho phép quản trị viên CNTT kích hoạt lại giao thức và kiểm soát việc sử dụng nó trong tổ chức của họ".

Cách bật lại giao thức ms-appinstaller

Theo cập nhật từ Hartano, Microsoft cuối cùng đã tìm ra cách xử lý vấn đề và giờ đây họ đã cho phép quản trị viên bật lại trình xử lý giao thức ms-appinstaller. Để làm điều này, bạn cần cập nhật phiên bản App Installer mới nhất (1.17.10751.0) và bật một chính sách nhóm.

Trên các hệ thống không thể cập nhật App Installer bằng trình cài đặt qua kết nối internet bạn cũng có thể tải xuống phiên bản ngoại tuyến trên trang Microsoft Download Center.

Tính năng App Installer sẽ được bật lại sau khi tải xuống bản cập nhật và triển khai chính sách Desktop App Installer và chọn "Enable App Installer ms-appinstaller protocol".

Bạn có thể làm điều này qua Group Policy Editor bằng cách truy cập Configuration > Administrative > Templates > Windows Components > Desktop App Installer.

ms-appinstaller bị lạm dụng để phát tán mã độc

Từ đầu tháng 12/2021, mã độc Emotet đã bắt đầu sử dụng các gói Windows AppX Installer chứa mã độc được ngụy trang dưới dạng phần mềm Adobe PDF để lây nhiễm vào các máy tính Windows.

Mạng botnet lừa đảo phát tán email vào các chuỗi trả lời mà chúng đánh cắp được. Email lừa đảo hướng dẫn nạn nhân mở các tệp PDF được thiết kế trông như có liên quan tới luồng trò chuyện trước đó.

Tuy nhiên, thay vì mở tệp PDF, liên kết sẽ Windows App Installer và yêu cầu người dùng cài đặt "Adobe PDF Component" chứa mã độc. Sau khi nạn nhân nhấn nút Install, App Installer tải xuống và cài đặt một gói ứng dụng độc hại được lưu trữ trên Microsoft Azure.