Microsoftは アプリ インストーラー の悪用に対処します

本ブログは、Microsoft addresses App Installer abuse の抄訳版です。最新の情報は原文を参照してください。

概要

ここ数か月、マイクロソフト脅威インテリジェンスでは、ソーシャル エンジニアリングとフィッシングを利用して Windows OS のユーザーを標的に、ms-appinstaller URI スキーム を悪用する脅威アクターを確認しています。この悪意のあるアクティビティを対処し、軽減するために、既定で ms-appinstaller をオフにしました。さらに、マイクロソフトは証明機関と連携して、特定されたマルウェア サンプルによって悪用されたコード署名証明書を失効させました。
この攻撃ベクトルを検出したマイクロソフトは、Microsoft Defender for Endpoint と Microsoft Defender for Office 内に適切な検出が存在することを確認し、お客様を保護するために調査を開始しました。

背景

当初、マイクロソフトは MSIX と MSIXBundles のインストール エクスペリエンスを向上するために、アプリ インストーラー v1.0.12271.0 に ms-appinstaller URI スキーム ハンドラーを導入しました。
最近、悪意のあるアクターが ms-appinstaller URI スキーム ハンドラーを使用して、ユーザーをだまして悪意のあるソフトウェアをインストールさせる悪意のあるアクティビティを確認しました。マイクロソフトは不明な Web サイトからアプリをインストールしないことを強くお勧めします。

緩和策

2023 年 12 月 28 日、マイクロソフトは CVE-2021-43890 を更新し、以前の保護手段に対する攻撃者の進化する手法からお客様を保護するための対応として、ms-appinstaller URI スキーム (プロトコル) を既定で無効にしました。つまり、ユーザーは MSIX パッケージ インストーラーを使用して Web ページから直接アプリをインストールできなくなります。代わりに、ユーザーは最初に MSIX パッケージをダウンロードしてインストールする必要があり、その結果、ローカルにインストールされたウイルス対策保護が確実に実行されます。

マイクロソフトは、今後も悪質なアクティビティを監視し、詐欺、フィッシング、その他のさまざまな永続的な脅威を防ぐために継続的な改善を行います。マイクロソフトは、攻撃者が手法を進化させ続ける中、警戒を怠りません。詳細とガイダンスについては、マイクロソフト脅威インテリジェンス ブログ:「Financially motivated threat actors misusing App Installer」を参照してください。

この問題に対処するには

1. マイクロソフトでは、アプリ インストーラー バージョン 1.21.3421.0 以降にて ms-appinstaller URI スキーム ハンドラーを既定で無効にしました。EnableMSAppInstallerProtocol を有効にしていない場合は、追加のアクションは必要ありません。

   • お客様は、次の PowerShell コマンドを実行して、システムにインストールされているアプリ インストーラーのバージョンを確認できます。: (Get-AppxPackage Microsoft.DesktopAppInstaller).Version
   • アプリ インストーラーを更新する方法については、「アプリ インストーラーをインストールして更新する」を参照してください。

リスクの有無を判断する方法

1. EnableMSAppInstallerProtocol グループ ポリシーが “未構成” (空白) または “有効” に設定されていること

2. PC にインストールされているアプリ インストーラーのバージョンが、v1.18.2691 から v1.21.3421であること

3. 2022 年 10 月から 2023 年 3 月までの以下の Windows OS 更新プログラムには、以前のバージョンの (脆弱な) AppInstaller が含まれています。

   • 2023 年 3 月 21 日 — KB5023773 (OS ビルド 19042.2788、19044.2788、19045.2788) プレビュー - Microsoft サポート
   • 2023 年 7 月 11 日 — KB5028171 (OS ビルド 20348.1850) - Microsoft サポート
   • 2023 年 3 月 28 日 — KB5023774 (OS ビルド 22000.1761) プレビュー - Microsoft サポート
   • 2022 年 10 月 25 日 — KB5018496 (OS ビルド 22621.755) プレビュー - Microsoft サポート
   • また、プレビュー版 v1.22.3452 以前のビルドを使用している場合も、脆弱なバージョンの AppInstaller が含まれています。

注意 : (非推奨) ms-appinstaller プロトコルを使用する必要がある場合は、グループ ポリシーの EnableMSAppInstallerProtocol を無効に設定することで、アプリ インストーラーを引き続き使用できます。詳細については、「DesktopAppInstaller ポリシー CSP - Windows Client」を参照してください。

参照

• Windows 10 アプリを Web ページからインストールする - MSIX | Microsoft Learn
• CVE のリンク
• Financially motivated threat actors misusing App Installer