CVE-2021-43890によって変更されるWindowsの動作

ほぼこもセキュリティニュース By Terilogy Worx

いろいろな会社が脆弱性対策のためのパッチの提供を行っています。
パッチを提供しても、そのパッチの狙っていた脆弱性のカバーが十分にできていないことが後でわかるということもあります。
そういう悲しい流れになっている脆弱性の一つにCVE-2021-43890があります。

CVE-2021-43890は、Windowsの脆弱性です。
Microsoft Windowsに影響を与えるAppXインストーラーのなりすましの脆弱性です。

Windowsのインストーラーのタイプには拡張子がexeではないものがあります。
拡張子がmsiのものです。
この拡張子がmsiのファイルはWindowsの標準の状態でWindows Installerと関連付けられています。
このためmsiファイルを実行するとWindows Installerが起動して読み込まれ、そのファイルのなかに含まれるアプリケーションをインストールできます。

そしてこのmsiの仕組みをさらに便利にする機構も提供されています。
Webコンテンツを記述する際に、なんらかのファイルにリンクする機構を使用することができます。
アンカー要素です。
このアンカー要素はその属性にhrefを持っていてそのhrefでリンク先のファイルを指定します。
hrefはhypertext referenceです。
このhrefは通常はリンク先のファイルへの参照(URLです)を直接指定して使用します。
この場合ブラウザに表示されるのは通常のリンクになります。
リンクをクリックするとリンクされたファイルがダウンロードされたりします。

このhrefには別の利用方法があります。
「href=”ms-appinstaller:?source=」という書き出し方でURLを指定した場合、そのリンクがクリックされると指定したURLのファイルをファイルにすることなく直接Windows Installerに渡すような動作をさせることができるようになります。
このように使用すると使いようによっては非常にわかりやすい便利なシステムを構成することができるようになります。
この機構がMSIX ms-appinstaller protocol handlerです。

この機構がマルウェアの配布に悪用されていたことが確認されています。
この悪用される問題がCVE-2021-43890です。
マイクロソフトはCVE-2021-43890への対応を狙ったパッチを2021年12月に提供しました。
しかし検証の結果現在の対応のみでは十分ではないことが確認されました。
マイクロソフトは一時的ということですが、MSIX ms-appinstaller protocol handlerを無効化することを選択しました。
必要十分に安全化がなされたと確認された際には再度有効化されるのだと思われますが、それまでは無効化状態となるようです。

安全のために便利な機構が無効にされたということですね。
これはとても悲しいことです。
早く元通りになるとよいのにと思います。

参考記事(外部リンク):Disabling the MSIX ms-appinstaller protocol handler
techcommunity.microsoft.com/t5/windows-it-pro-blog/disabling-the-msix-ms-appinstaller-protocol-handler/ba-p/3119479

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。