Microsoft heeft besloten om de MSIX ms-appinstaller protocol handler in Windows wegens een actief aangevallen spoofinglek voorlopig uit te schakelen, wat gevolgen heeft voor organisaties en gebruikers die apps direct vanaf een webserver installeren of websites die dit aanbieden.

De ms-appinstaller protocol handler laat gebruikers door het klikken op een link een applicatie installeren. Hierdoor is het niet langer nodig het volledige package te downloaden. Door het spoofinglek kan een aanvaller aangeven dat een malafide applicatie bijvoorbeeld van Adobe of Microsoft afkomstig is. Een gebruiker zou nog wel moeten worden verleid om de app te installeren.

Volgens Microsoft maakt de Emotet/Trickbot/Bazaloader-malware misbruik van deze kwetsbaarheid. In december kwam het techbedrijf, in afwachting van de betreffende beveiligingsupdate, met een workaround. Nu heeft Microsoft besloten om de MSIX protocol handler uit te schakelen. Hierdoor kan de App Installer niet langer een app direct vanaf een webserver installeren. In plaats daarvan moeten gebruikers eerst de app downloaden om die vervolgens via de App Installer te installeren. Volgens Microsoft kan dit bij sommige packages voor een grotere downloadomvang zorgen.

Daarnaast heeft de maatregel ook gevolgen voor met name grote organisaties. "We beseffen dat deze feature voor veel ondernemingen essentieel is", zegt Microsofts Dian Hartono. Er wordt daarom naast een update ook gekeken naar een Group Policy waardoor de feature weer op een veilige manier binnen organisaties is in te schakelen. Websites die van het ms-appinstaller protocol gebruikmaken wordt aangeraden om de link naar aangeboden applicaties aan te passen, zodat gebruikers het betreffende bestand gewoon downloaden.