Wegen CVE-2021-43890: Microsoft deaktiviert Installation von MSIX via Web-Server


    Tags: ,

    MSIX-ÄnderungspaketAufgrund der kürzlich ent­deckten Schwach­stelle CVE-2021-43890 deak­tivierte Micro­soft den Proto­koll-Handler, mit dessen Hilfe sich MSIX-Pakete von einem Web-Server laden und auf dem PC instal­lieren lassen. Anwender müssen das Setup manu­ell anstoßen, bis es die ange­kündigte Lösung auf Basis einer Gruppen­richt­linie für dieses Problem gibt.

    MSIX ist bekanntlich Microsofts neuestes Paket-Format für die Installation von Software und soll langfristig MSI, EXE-Setup und App-V ersetzen. Es bietet einige Vorteile, darunter die Abkapselung von Anwendungen gegenüber dem Betriebssystem, weil sie in einem Container laufen. Daher lassen sie sich auch rückstandsfrei entfernen.

    Mehrere Deployment-Optionen, aber nur Web-Server betroffen

    Microsoft sieht verschiedene Möglichkeiten vor, um Anwendungen als MSIX im Unternehmen zu verteilen. Dazu zählen neben klassischen Werkzeugen für das Client-Management auch App-Stores oder der Download von einem Web-Server.

    Für Letzteren definierte Microsoft einen eigenen Protokoll-Handler 'ms-appinstaller:?source=', der dem App Installer zugeordnet ist. Klickt ein User auf einen derartigen Link, dann startet die Installation der Software automatisch nach deren Download.

    Tausch von Paketen durch Spoofing möglich

    Die kürzlich entdeckte Schwachstelle erlaubt Angreifern ein Spoofing, wodurch die dem App Installer ein Paket unterschieben, das gar nicht für die Installation vorgesehen ist.

    Microsoft hat daher den Protokoll-Handler vorerst deaktiviert. Unternehmen, welche diese Methode der Software-Verteilung nutzen, sollten daher die Links zu den Software-Paketen ändern, indem sie 'ms-appinstaller:?source=' entfernen und durch eine URL ersetzen, die direkt mit http(s) beginnt.

    Benutzer können auf diese Weise das Paket herunterladen und dann mit Hilfe des App Installers manuell einrichten.

    Microsoft arbeitet derweil an einer Lösung auf Basis einer Gruppenrichtlinie, die Admins mehr Kontrolle über dieses Feature verleihen soll. Ein Datum für deren Verfügbarkeit nannte der Hersteller nicht.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links