Microsoft hat eine Warnung veröffentlicht, in der es vor Angriffen warnt, die die Windows-Funktion App Installer ausnutzen, um Malware auf die Geräte der Nutzer zu installieren. Die Funktion ermöglicht es, Apps direkt von Internetservern herunterzuladen und zu installieren, indem man auf Links klickt, die das ms-appinstaller-Protokoll verwenden. Daraufhin wird den Nutzern direkt ein Installationsfenster präsentiert und darüber kann das gewünschte Programm dann installiert werden. Somit war kein vorheriger Download der MSIX-Datei auf den PC notwendig, sondern die Installation wurde mit zwei Klicks gestartet.
Das Problem, das Microsoft behoben hat
Nun hat Microsoft angekündigt, dass das ms-appinstaller URI-Protokoll innerhalb des App Installer-Programms deaktiviert wird. Grund dafür ist, dass Angreifer diese Methode ausgenutzt haben, um Nutzer zur Installation von Malware und anderer Schadsoftware zu verleiten. Microsoft hat mehrere Angriffe beobachtet, die App Installer nutzen, um Windows-Geräte zu infizieren. Microsofts Sicherheitsteam hat infolge der gemeldeten Sicherheitslücke namens CVE-2021-43890 reagiert und das ms-appinstaller-Protokoll in Windows vollständig deaktiviert. Wer nun eine Webseite besucht, die dieses Protokoll verwendet, wird nicht in der Lage sein, das gewünschte Programm zu installieren. Nutzer werden stattdessen erst die MSIX-Datei herunterladen und daraufhin manuell ausführen müssen.
2021: Microsoft meldet Lücke und Behebung
Interessant ist, dass die Sicherheitslücke CVE-2021-43890 bereits am 14. Dezember 2021 an den Konzern gemeldet und man den nun angekündigten Schritt schon damals angewendet hat. Tatsächlich war das ms-appinstaller Protokoll schon seit Ende 2021 in Windows 10 und Windows 11 deaktiviert und konnte nicht verwendet werden. Damit hätten wir als Nutzer niemals wieder von CVE-2021-43890 hören oder lesen sollen.
2023: Microsoft hat eigenen Fix aufgehoben
Wie es jetzt scheint, hat man dies bei Microsoft offenbar vergessen und auch den kompletten Fix übersehen. Im April 2023 wurde nämlich das ms-appinstaller Protokoll aus irgendeinem Grund wieder im App Installer-Programm aktiviert. Screenshots von Nutzern zeigen nämlich, dass dieses Protokoll zwischen April 2023 und Dezember 2023 genutzt werden konnte.
Der Grund dafür ist, dass Microsoft zwischen Oktober 2022 und Juli 2023 insgesamt vier Windows Updates mit einer Version des App Installers ausgeliefert hat, worin das ms-appinstaller URI-Protokoll aktiviert war. Hierbei handelt es sich um die folgenden Updates:
- 21. März 2023—KB5023773 (OS Builds 19042.2788, 19044.2788, und 19045.2788) Preview
- 11. Juli 2023—KB5028171 (OS Build 20348.1850)
- 28. März 2023—KB5023774 (OS Build 22000.1761) Preview
- 25. Oktober 2022—KB5018496 (OS Build 22621.755) Preview
- App Installer v1.22.3452-preview oder niedriger sind betroffen.
Mit Microsofts erneuter Ankündigung dürfte man diese Lücke und damit verbunden auch das ms-appinstaller-Protokoll ein für alle Mal deaktiviert haben. Der Konzern dürfte den Fix mit einem Patchday-Update im April aufgehoben haben und jemand innerhalb der Sicherheitsabteilung von Microsoft hat den Fehler kurz vor Jahresende gefunden und behoben. Immerhin, denn ein großer Teil der Windows-Entwickler bei Microsoft ist um diese Zeit nicht bei der Arbeit.
Welche Versionen sind betroffen?
Wer somit nicht das aktuellste Update auf seinem PC hat, könnte aufgrund Microsofts fehlerhafter Updates womöglich eine betroffene Version des App Installers installiert haben. App Installer-Versionen zwischen v1.18.2691 und v1.21.3421 sind betroffen, neuere Versionen sollten dies nicht sein. Es sollte ausreichen, das aktuellste Windows Update zu installieren.
Mit dem folgenden PowerShell-Befehl können Nutzer selbst prüfen, welche Version des App Installers auf ihren PCs installiert ist:
(Get-AppxPackage Microsoft.DesktopAppInstaller).Version
Wer das ms-appinstaller URI-Schema benötigt, kann dieses über eine Gruppenrichtlinie aktivieren. Microsoft rät davon aber ab. Die Richtlinie EnableMSAppInstallerProtocol muss dabei auf Deaktiviert gesetzt sein, damit dieses wieder funktioniert.
Quelle: Microsoft | Brinkmann | Dormann | Born
