A seguito di abusi perpetrati da malintenzionati, Microsoft ha disabilitato un protocollo che permetteva l'installazione di app Windows. La mossa, giunta poco prima delle festività natalizie, sembra essere stata una risposta diretta a problemi segnalati già a dicembre 2021, focalizzati su una vulnerabilità del Windows AppX Installer (CVE-2021-43890). Questa vulnerabilità consentiva agli aggressori di contraffare App Installer per infiltrare software dannoso nei sistemi degli utenti.
Il protocollo in questione, noto come schema URI ms-appinstaller, è stato riabilitato solo recentemente da Microsoft, il 5 agosto 2022, con il rilascio di Windows 11 Insider Preview Build 25147. Tuttavia, la società ha limitato l'accesso a tale protocollo, rendendolo disponibile solo per alcuni clienti enterprise che lo scelgono attraverso l'Editor della policy di gruppo locale.
L'aspetto chiave dello schema URI ms-appinstaller è la sua capacità di consentire all'installatore di pacchetti MSIX di installare app Windows direttamente da pagine web, bypassando la necessità di utilizzare lo storage locale. Questa funzionalità ha goduto di grande popolarità tra gli utenti, ma ha purtroppo attirato anche l'attenzione di malintenzionati che ne hanno abusato per distribuire malware.
La Microsoft Threat Intelligence group ha segnalato che i criminali informatici hanno sfruttato lo schema URI ms-appinstaller per distribuire malware, evitando in tal modo i controlli di sicurezza implementati da Microsoft, come Microsoft Defender SmartScreen e gli avvisi del browser per il download di file eseguibili.
Microsoft ha quindi optato per disabilitare il protocollo di default nella versione 1.21.3421.0 o superiore di App Installer. Redmond sta anche collaborando con le autorità di certificazione per revocare i certificati di firma del codice utilizzati per i malware identificati.
Siete quindi tutti fortemente incoraggiati ad aggiornare App Installer alla versione più recente e a verificare la configurazione della vostra policy di gruppo.