Microsoft признава критична уязвимост от нулев ден в Windows, засягаща всички основни версии, включително Windows 11, Windows 10, Windows 8.1 и дори Windows 7. Уязвимостта, идентифицирана с тракера CVE-2022-30190 или Follina, позволява на нападателите да работят дистанционно зловреден софтуер в Windows, без да задейства Windows Defender или друг софтуер за сигурност. За щастие, Microsoft сподели официално решение за намаляване на риска. В тази статия сме изложили подробно стъпките за защита на вашите компютри с Windows 11/10 от най-новата уязвимост нулев ден.
Съдържание
Коригиране на уязвимостта „Follina“ MSDT на Windows Zero-Day (юни 2022 г.)
Какво представлява уязвимостта на Follina MSDT Windows Zero-Day (CVE-2022-30190)?
Преди да стигнем до стъпките за отстраняване на уязвимостта, нека разберем за какво е експлойта. Известен с кода за проследяване CVE-2022-30190, експлойтът с нулев ден е свързан с инструмента за диагностика на поддръжка на Microsoft (MSDT). С този експлойт нападателите могат дистанционно да изпълняват команди на PowerShell чрез MSDT, когато отварят злонамерени документи на Office.
„Съществува уязвимост при отдалечено изпълнение на код, когато MSDT се извиква чрез URL протокола от извикващо приложение като Word. Нападател, който успешно използва тази уязвимост, може да стартира произволен код с привилегиите на извикващото приложение. След това нападателят може да инсталира програми, да преглежда, променя или изтрива данни или да създава нови акаунти в контекста, разрешен от правата на потребителя“, обяснява Microsoft.
Както обяснява изследователят Кевин Бомонт, атаката използва функцията за отдалечен шаблон на Word, за да извлече HTML файл от отдалечен уеб сървър. След това използва схемата на ms-msdt MSProtocol URI, за да зареди кода и да изпълни командите на PowerShell. Като странична бележка експлойтът получи името „Follina“, тъй като примерният файл се позовава на 0438, регионалния код на Follina, Италия.
В този момент може да се чудите защо защитеният изглед на Microsoft няма да попречи на документа да отвори връзката. Е, това е така, защото изпълнението може да се случи дори извън обхвата на Protected View. Както изследователят Джон Хамънд подчерта в Twitter, връзката може да се изпълни направо от прозореца за преглед на Explorer като файл с богат текстов формат (.rtf).
Според доклада на ArsTechnica, изследователи от Shadow Chaser Group са обърнали вниманието на Microsoft към уязвимостта още на 12 април. Въпреки че Microsoft отговори седмица по-късно, компанията изглежда го отхвърли, тъй като не може да повтори същото от своя страна. Независимо от това, уязвимостта вече е маркирана като нулев ден и Microsoft препоръчва да деактивирате MSDT URL протокола като заобиколно решение, за да защитите вашия компютър от експлоата.
Моят компютър с Windows уязвим ли е към експлоата на Follina?
На страницата си с ръководство за актуализация на защитата Microsoft е изброила 41 версии на Windows, които са уязвими към уязвимостта Follina CVE-2022-30190. Той включва издания на Windows 7, Windows 8.1, Windows 10, Windows 11 и дори Windows Server. Вижте пълния списък на засегнатите версии по-долу:
- Windows 10 версия 1607 за 32-битови системи
- Windows 10 версия 1607 за x64-базирани системи
- Windows 10 версия 1809 за 32-битови системи
- Windows 10 Версия 1809 за ARM64-базирани системи
- Windows 10 Версия 1809 за x64-базирани системи
- Windows 10 версия 20H2 за 32-битови системи
- Windows 10 версия 20H2 за ARM64-базирани системи
- Windows 10 версия 20H2 за x64-базирани системи
- Windows 10 версия 21H1 за 32-битови системи
- Windows 10 версия 21H1 за ARM64-базирани системи
- Windows 10 Версия 21H1 за x64-базирани системи
- Windows 10 версия 21H2 за 32-битови системи
- Windows 10 версия 21H2 за ARM64-базирани системи
- Windows 10 Версия 21H2 за x64-базирани системи
- Windows 10 за 32-битови системи
- Windows 10 за x64-базирани системи
- Windows 11 за ARM64-базирани системи
- Windows 11 за x64-базирани системи
- Windows 7 за 32-битови системи Service Pack 1
- Windows 7 за базирани на x64 системи Service Pack 1
- Windows 8.1 за 32-битови системи
- Windows 8.1 за x64-базирани системи
- Windows RT 8.1
- Windows Server 2008 R2 за базирани на x64 системи Service Pack 1
- Windows Server 2008 R2 за базирани на x64 системи Service Pack 1 (инсталация на сървърното ядро)
- Windows Server 2008 за 32-битови системи Service Pack 2
- Windows Server 2008 за 32-битови системи Service Pack 2 (инсталация на ядрото на сървъра)
- Windows Server 2008 за базиран на x64 системен сервизен пакет 2
- Windows Server 2008 за базиран на x64 Systems Service Pack 2 (инсталация на сървърното ядро)
- Windows Server 2012
- Windows Server 2012 (инсталация на сървърното ядро)
- Windows Server 2012 R2
- Windows Server 2012 R2 (инсталация на сървърното ядро)
- Windows Server 2016
- Windows Server 2016 (инсталация на сървърното ядро)
- Windows Server 2019
- Windows Server 2019 (инсталация на сървърното ядро)
- Windows Server 2022
- Windows Server 2022 (инсталация на сървърното ядро)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, версия 20H2 (Инсталиране на ядрото на сървъра)
Деактивирайте MSDT URL протокола, за да защитите Windows от уязвимост Follina
1. Натиснете клавиша Win на клавиатурата си и въведете “Cmd” или “Command Prompt”. Когато се появи резултатът, изберете „Изпълни като администратор“, за да отворите повишен прозорец на командния ред.
2. Преди да модифицирате системния регистър, използвайте командата по-долу, за да направите резервно копие. По този начин можете да изберете да възстановите протокола, след като Microsoft пусне официална корекция. Тук пътят на файла се отнася до мястото, където искате да запишете архивния файл .reg.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Вече можете да изпълните следната команда, за да деактивирате MSDT URL протокола. Ако е успешен, ще видите текста „Операцията е завършена успешно“ в прозореца на командния ред.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. За да възстановите протокола по-късно, ще трябва да използвате архива на системния регистър, който сте направили във втората стъпка. Изпълнете командата по-долу и отново ще имате достъп до MSDT URL протокола.
reg import <file_path.reg>
Защитете вашия компютър с Windows от MSDT Windows Zero-Day уязвимост
И така, това са стъпките, които трябва да следвате, за да деактивирате MSDT URL протокола на вашия компютър с Windows, за да предотвратите експлоата на Follina. Докато Microsoft не пусне официална корекция за сигурност за всички версии на Windows, можете да използвате това удобно решение, за да останете защитени от CVE-2022-30190 Windows Follina MSDT уязвимост нулев ден. Говорейки за защита на вашия компютър от злонамерени програми, можете също да помислите за инсталиране на специални инструменти за премахване на зловреден софтуер или антивирусен софтуер, за да сте в безопасност от други вируси.