微软近日禁用了一个关键软件协议，原因是该协议被威胁行为者滥用。依赖Windows应用程序安装功能在网络上分发软件的开发人员将不得不找寻另一种替代工具。

微软近日表示，它已经默认禁用了 ms-appinstaller 协议处理程序（protocol handler），因为在过去两个月中，至少有四个组织利用它来发布恶意软件。

这是微软两年来第二次因该协议被滥用而对其进行封杀。

该协议允许开发者发送以 ms-appinstaller:// 开头的链接，而不是更熟悉的 http:// 或 https://，以触发微软的应用程序安装系统，从而协调下载过程。

不仅威胁组织在滥用该协议，多个网络犯罪分子还将恶意软件套件以滥用 MSIX 文件格式的服务进行销售。这些威胁分子利用通过合法流行软件的恶意广告访问的网站分发已签名的恶意 MSIX 应用程序包。

微软表示，威胁者之所以选择 ms-appinstaller 协议处理程序载体，很可能是因为它可以绕过旨在帮助用户免受恶意软件侵害的机制，例如 Microsoft Defender SmartScreen 和内置浏览器对下载可执行文件格式的警告。

在一个滥用的例子中，一个团伙通过欺骗使用搜索引擎查找合法软件（如 Zoom、Tableau、TeamViewer 和 AnyDesk）的用户来传播恶意软件。受害者在搜索后，如果点击这些网站的链接，就会进入一个欺骗原始软件提供商的登录页面，其中包括通过 ms-appinstaller 协议指向恶意安装程序的链接。受害者会看到一个弹出窗口，例如 "是否安装 Zoom？”弹出窗口上有一个“安装”按钮。这是一个骗局：该框显示应用程序的发布者是 “Legion LLC”，而不是 Zoom Communications。

另一个团伙正在分发所谓的 Adobe Acrobat Reader。它首先提供受害者电脑需要更新的信息。弹出窗口显示“是否安装 Adobe Protected PDF Viewer？”同样，这是欺诈。因为发布者是一家不知名的公司，而不是 Adobe。

企业应提醒员工注意未经批准下载和安装应用程序的风险，还应教育用户在点击搜索结果中的链接时，使用浏览器的 URL 导航来验证是否指向预期的合法域名，还应该告诉他们验证正在安装的软件是否是由合法发行商发布的。

另外，建立防网络钓鱼的验证程序也很有帮助。