Koncern Microsoft ujawnił istnienie poważnej luki zero-day w systemie Windows, która wpływa na wszystkie jego główne wersje, włączając w to Windows 11, Windows 10, Windows 8.1, a nawet Windows 7. Ta usterka, oznaczona identyfikatorem CVE-2022-30190 lub „Follina”, umożliwia hakerom zdalne wprowadzanie złośliwego oprogramowania do systemu Windows, bez aktywowania Windows Defender czy innych programów ochronnych. Na szczęście, Microsoft przedstawił tymczasowe rozwiązanie, które minimalizuje ryzyko. W tym artykule szczegółowo przedstawimy działania, które pozwolą zabezpieczyć komputery z systemem Windows 11/10 przed tą najnowszą luką.
Usuwanie luki „Follina” w MSDT Windows Zero-Day (czerwiec 2022)
Czym jest luka Follina MSDT Windows Zero-Day (CVE-2022-30190)?
Zanim przejdziemy do kroków naprawczych, warto zrozumieć, na czym polega istota zagrożenia. Luka zero-day, znana pod numerem CVE-2022-30190, jest związana z narzędziem Microsoft Support Diagnostic Tool (MSDT). Wykorzystując tę słabość, przestępcy mogą zdalnie uruchamiać polecenia PowerShell poprzez MSDT podczas otwierania zainfekowanych dokumentów pakietu Office.
Microsoft wyjaśnia, że „Luka zdalnego wykonywania kodu pojawia się, gdy MSDT jest aktywowane za pomocą protokołu URL z poziomu aplikacji, takiej jak Word. Napastnik, któremu uda się wykorzystać tę lukę, może uruchomić dowolny kod z uprawnieniami aplikacji wywołującej. Może on instalować programy, przeglądać, modyfikować lub usuwać dane, a także tworzyć nowe konta w ramach uprawnień danego użytkownika”.
Jak opisuje badacz Kevin Beaumont, atak wykorzystuje funkcję zdalnych szablonów programu Word do pobrania pliku HTML z zewnętrznego serwera. Następnie wykorzystywany jest schemat ms-msdt MSProtocol URI do załadowania kodu i wykonania komend PowerShell. Złośliwe oprogramowanie zostało nazwane „Follina”, ponieważ w przykładowym pliku wykorzystano kod 0438, który jest numerem kierunkowym miasta Follina we Włoszech.
Można zapytać, dlaczego ochrona firmy Microsoft nie powstrzymuje otwarcia złośliwego łącza. Dzieje się tak, ponieważ atak może zostać przeprowadzony nawet poza obszarem chronionym. Badacz John Hammond zauważył na Twitterze, że łącze można uruchomić bezpośrednio z panelu podglądu Eksploratora Windows, korzystając z pliku w formacie Rich Text Format (.rtf).
Jak informuje ArsTechnica, badacze z grupy Shadow Chaser Group zgłosili lukę firmie Microsoft 12 kwietnia. Mimo reakcji Microsoftu tydzień później, firma początkowo zbagatelizowała problem, nie będąc w stanie go odtworzyć. Jednakże, obecnie luka jest traktowana jako zero-day, a Microsoft zaleca wyłączenie protokołu URL MSDT jako tymczasowe zabezpieczenie przed atakiem.
Czy mój komputer z systemem Windows jest narażony na exploit Follina?
Na stronie poświęconej aktualizacjom bezpieczeństwa, Microsoft opublikował listę 41 wersji systemu Windows, które są podatne na lukę Follina CVE-2022-30190. Obejmuje to systemy Windows 7, Windows 8.1, Windows 10, Windows 11, a także Windows Server. Poniżej znajduje się szczegółowa lista zagrożonych wersji:
- Windows 10 w wersji 1607 dla systemów 32-bitowych
- Windows 10 w wersji 1607 dla systemów opartych na procesorach x64
- Windows 10 w wersji 1809 dla systemów 32-bitowych
- Windows 10 w wersji 1809 dla systemów opartych na ARM64
- Windows 10 w wersji 1809 dla systemów opartych na procesorach x64
- Windows 10 w wersji 20H2 dla systemów 32-bitowych
- Windows 10 w wersji 20H2 dla systemów opartych na ARM64
- Windows 10 w wersji 20H2 dla systemów opartych na procesorach x64
- Windows 10 w wersji 21H1 dla systemów 32-bitowych
- Windows 10 w wersji 21H1 dla systemów opartych na ARM64
- Windows 10 w wersji 21H1 dla systemów opartych na procesorach x64
- Windows 10 w wersji 21H2 dla systemów 32-bitowych
- Windows 10 w wersji 21H2 dla systemów opartych na ARM64
- Windows 10 w wersji 21H2 dla systemów opartych na procesorach x64
- Windows 10 dla systemów 32-bitowych
- Windows 10 dla systemów opartych na procesorach x64
- Windows 11 dla systemów opartych na ARM64
- Windows 11 dla systemów opartych na procesorach x64
- Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1
- Windows 7 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1
- Windows 8.1 dla systemów 32-bitowych
- Windows 8.1 dla systemów opartych na procesorach x64
- Windows RT 8.1
- Windows Server 2008 R2 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1
- Windows Server 2008 R2 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1 (instalacja Server Core)
- Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2
- Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core)
- Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2
- Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2 (instalacja Server Core)
- Windows Server 2012
- Windows Server 2012 (instalacja Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (instalacja Server Core)
- Windows Server 2016
- Windows Server 2016 (instalacja Server Core)
- Windows Server 2019
- Windows Server 2019 (instalacja Server Core)
- Windows Serwer 2022
- Windows Server 2022 (instalacja Server Core)
- Windows Server 2022 Podstawowa poprawka gorącej wersji Azure Edition
- Windows Server, wersja 20H2 (Instalacja Server Core)
Wyłączenie protokołu URL MSDT w celu ochrony systemu Windows przed luką Follina
1. Wciśnij klawisz Windows na klawiaturze i wpisz „Cmd” lub „Wiersz polecenia”. Wybierz opcję „Uruchom jako administrator”, aby otworzyć okno wiersza polecenia z uprawnieniami administratora.
2. Przed zmianami w rejestrze, użyj poniższego polecenia, aby utworzyć kopię zapasową. Dzięki temu można przywrócić protokół, gdy Microsoft udostępni oficjalną poprawkę. Ścieżka pliku odnosi się do miejsca, gdzie chcesz zapisać plik kopii zapasowej .reg.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Możesz teraz wprowadzić poniższe polecenie, aby wyłączyć protokół URL MSDT. W przypadku sukcesu, w oknie wiersza polecenia pojawi się komunikat „Operacja zakończona pomyślnie”.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. Aby przywrócić protokół w przyszłości, należy użyć kopii zapasowej rejestru, którą utworzono w kroku drugim. Wprowadź poniższe polecenie, a dostęp do protokołu URL MSDT zostanie przywrócony.
reg import <file_path.reg>
Zabezpiecz swój komputer przed luką zero-day MSDT w systemie Windows
Przedstawione powyżej kroki opisują, jak wyłączyć protokół URL MSDT w systemie Windows, aby uniemożliwić wykorzystanie luki „Follina”. Do czasu, gdy Microsoft nie udostępni oficjalnej poprawki zabezpieczeń dla wszystkich wersji systemu Windows, można zastosować to tymczasowe rozwiązanie, aby ochronić się przed luką zero-day CVE-2022-30190 Windows Follina MSDT. Oprócz tego, w celu zwiększenia bezpieczeństwa, warto rozważyć instalację specjalistycznych narzędzi do usuwania złośliwego oprogramowania lub programów antywirusowych, co pomoże w ochronie przed innymi zagrożeniami.