ตั้งแต่ Windows 10 (Fall Creators Update) เป็นต้นมา ไมโครซอฟท์มีช่องทางการติดตั้งแอพผ่านหน้าเว็บชื่อ App Installer เป็นการคลิกลิงก์ที่ใช้ URL ขึ้นต้นด้วย ms-appinstaller เพื่ออำนวยความสะดวกให้ผู้ใช้ (รายละเอียด) โดยเบื้องหลังเป็นการติดตั้งไฟล์ในแพ็กเกจฟอร์แมตใหม่ MSIX ที่ใช้ใน Windows 10 อยู่แล้ว
แต่ล่าสุด ทีมความปลอดภัย Microsoft Threat Intelligence พบว่ามีแก๊งแฮ็กเกอร์ใช้ช่องทาง ms-appinstaller เผยแพร่มัลแวร์ ตัวอย่างวิธีการใช้งานคือสร้างหน้าเว็บปลอมเป็นแอพดังๆ (เช่น Zoom หรือ Adobe) แล้วทำ SEO ให้ติดอันดับสูงๆ หรือซื้อโฆษณาบน search engine เพื่อหลอกผู้ใช้คลิกลิงก์เพื่อติดตั้งแอพบนวินโดวส์ได้ทันที (ตัวอย่างหน้าติดตั้ง จะเห็นว่าชื่อผู้สร้างแอพเป็นชื่ออื่นที่ไม่ใช่ Zoom)
ไมโครซอฟท์ดำเนินมาตรการป้องกันเบื้องต้น โดยปิดช่องทางติดตั้งแอพแบบ ms-appinstaller เป็นดีฟอลต์ เพื่อสกัดการแพร่กระจายของมัลแวร์ (ผู้ใช้ต้องดาวน์โหลดไฟล์ MSIX มาก่อนแล้วติดตั้งเองโดยตรงแทน) และอัพเดตข้อมูลใน Microsoft Defender ให้รู้จักมัลแวร์เหล่านี้
ในอดีตเคยเกิดเหตุการณ์เผยแพร่มัลแวร์ผ่าน ms-appinstaller แบบนี้มาแล้วครั้งหนึ่ง และไมโครซอฟท์เคยปิด ms-appinstaller มาแล้วเช่นกันในเดือนกุมภาพันธ์ 2022 ก่อนเปิดคืนมาภายหลังเมื่อทลายแก๊งมัลแวร์เก่าได้สำเร็จ อย่างไรก็ตาม การที่ช่องทางนี้เปิดโอกาสให้เกิดปัญหาซ้ำอีกรอบ ต้องรอดูว่าทางแก้ไขในระยะยาวของไมโครซอฟท์คืออะไร จะเป็นการปิดถาวร (เป็นค่าดีฟอลต์) ไปเลยหรือไม่
ที่มา - Microsoft, Microsoft, BleepingComputer
Comments
ผมชอบนะ เป็นฟีเจอร์ที่ดีและสะดวกมาก กึ่งๆ ทำ 3rd party store บนเว็บได้เลย
แต่ดูจะสะดวกไปหน่อย 🥺 ต้องทำยังไงต่อ ให้ trust server เป็นรายตัวอีกทีเหรอ
(แต่คนที่กด install ตรงๆ ก็จะเป็นกลุ่มเดียวกับที่ดาวน์โหลดมากดติดตั้งอยู่ดี?)
เคสงานไหนบ้างที่ลงโปรแกรมแบบนี้ครับ ปรกติก้ลงผ่าน .exe
MSIX มันเป็นแค่แพ็กเกจครับ ข้างในจะเป็น .exe, .msi เดิม หรือ PWA ก็ได้หมด
ผมเข้าใจว่าแอพใหม่ๆ ที่ติดตั้งจาก Microsoft Store ส่วนใหญ่น่าจะเป็น MSIX หมดแล้วนะครับ