Jak naprawić lukę dnia zerowego w systemie Microsoft „Follina” MSDT w systemie Windows?

Firma Microsoft przyznała się do krytycznej luki zero-day w systemie Windows, która dotyczy wszystkich głównych wersji, w tym Windows 11, Windows 10, Windows 8.1, a nawet Windows 7. Luka, zidentyfikowana za pomocą trackera CVE-2022-30190 lub Follina, umożliwia atakującym zdalne uruchomienie złośliwe oprogramowanie w systemie Windows bez uruchamiania programu Windows Defender lub innego oprogramowania zabezpieczającego. Na szczęście Microsoft udostępnił oficjalne obejście, aby zmniejszyć ryzyko. W tym artykule szczegółowo opisaliśmy kroki mające na celu ochronę komputerów z systemem Windows 11/10 przed najnowszą luką zero-day.

Napraw lukę „Follina” MSDT Windows Zero-Day (czerwiec 2022)

Co to jest luka w zabezpieczeniach systemu Windows Zero-Day Follina MSDT (CVE-2022-30190)?

Zanim przejdziemy do kroków mających na celu naprawienie luki, zrozummy, na czym polega exploit. Znany z kodu śledzenia CVE-2022-30190, exploit zero-day jest powiązany z narzędziem Microsoft Support Diagnostic Tool (MSDT). Dzięki temu exploitowi osoby atakujące mogą zdalnie uruchamiać polecenia PowerShell za pośrednictwem narzędzia MSDT podczas otwierania złośliwych dokumentów pakietu Office.

„Luka umożliwiająca zdalne wykonanie kodu występuje, gdy narzędzie MSDT jest wywoływane przy użyciu protokołu URL z aplikacji wywołującej, takiej jak Word. Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić dowolny kod z uprawnieniami aplikacji wywołującej. Atakujący może następnie instalować programy, przeglądać, zmieniać lub usuwać dane albo tworzyć nowe konta w kontekście dozwolonym przez prawa użytkownika” — wyjaśnia Microsoft.

Jak wyjaśnia badacz Kevin Beaumont, atak wykorzystuje funkcję zdalnego szablonu programu Word, aby pobrać plik HTML ze zdalnego serwera WWW. Następnie używa schematu ms-msdt MSProtocol URI do załadowania kodu i wykonania poleceń PowerShell. Na marginesie, exploit otrzymał nazwę „Follina”, ponieważ przykładowy plik odwołuje się do 0438, numer kierunkowy Follina we Włoszech.

W tym momencie możesz się zastanawiać, dlaczego widok chroniony firmy Microsoft nie powstrzyma dokumentu przed otwarciem łącza. Cóż, to dlatego, że wykonanie może nastąpić nawet poza zakresem Protected View. Jak zauważył na Twitterze badacz John Hammond, łącze może zostać uruchomione bezpośrednio z okienka podglądu Eksploratora jako plik w formacie Rich Text Format (.rtf).

Według raportu ArsTechnica, badacze z Shadow Chaser Group zwrócili uwagę Microsoftu na lukę już 12 kwietnia. Chociaż Microsoft odpowiedział tydzień później, wydaje się, że firma odrzuciła ją, ponieważ nie była w stanie powtórzyć tego samego. Niemniej jednak luka jest teraz oznaczona jako zero-day, a firma Microsoft zaleca wyłączenie protokołu MSDT URL jako obejście w celu ochrony komputera przed exploitem.

Czy mój komputer z systemem Windows jest podatny na exploit Follina?

Na swojej stronie przewodnika po aktualizacjach zabezpieczeń firma Microsoft wymieniła 41 wersji systemu Windows, które są podatne na lukę Follina CVE-2022-30190. Obejmuje wersje Windows 7, Windows 8.1, Windows 10, Windows 11, a nawet Windows Server. Zapoznaj się z pełną listą wersji, których dotyczy problem, poniżej:

  • Windows 10 w wersji 1607 dla systemów 32-bitowych
  • Windows 10 w wersji 1607 dla systemów opartych na procesorach x64
  • Windows 10 w wersji 1809 dla systemów 32-bitowych
  • Windows 10 w wersji 1809 dla systemów opartych na ARM64
  • Windows 10 w wersji 1809 dla systemów opartych na procesorach x64
  • Windows 10 w wersji 20H2 dla systemów 32-bitowych
  • Windows 10 w wersji 20H2 dla systemów opartych na ARM64
  • Windows 10 w wersji 20H2 dla systemów opartych na procesorach x64
  • Windows 10 w wersji 21H1 dla systemów 32-bitowych
  • Windows 10 w wersji 21H1 dla systemów opartych na ARM64
  • Windows 10 w wersji 21H1 dla systemów opartych na procesorach x64
  • Windows 10 w wersji 21H2 dla systemów 32-bitowych
  • Windows 10 w wersji 21H2 dla systemów opartych na ARM64
  • Windows 10 w wersji 21H2 dla systemów opartych na procesorach x64
  • Windows 10 dla systemów 32-bitowych
  • Windows 10 dla systemów opartych na procesorach x64
  • Windows 11 dla systemów opartych na ARM64
  • Windows 11 dla systemów opartych na procesorach x64
  • Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1
  • Windows 7 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1
  • Windows 8.1 dla systemów 32-bitowych
  • Windows 8.1 dla systemów opartych na procesorach x64
  • Windows RT 8.1
  • Windows Server 2008 R2 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1
  • Windows Server 2008 R2 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1 (instalacja Server Core)
  • Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2
  • Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core)
  • Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2
  • Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2 (instalacja Server Core)
  • Windows Server 2012
  • Windows Server 2012 (instalacja Server Core)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (instalacja Server Core)
  • Windows Server 2016
  • Windows Server 2016 (instalacja Server Core)
  • Windows Server 2019
  • Windows Server 2019 (instalacja Server Core)
  • Windows Serwer 2022
  • Windows Server 2022 (instalacja Server Core)
  • Windows Server 2022 Podstawowa poprawka gorącej wersji Azure Edition
  • Windows Server, wersja 20H2 (Instalacja Server Core)

Wyłącz protokół URL MSDT, aby chronić system Windows przed luką w zabezpieczeniach Follina

1. Naciśnij klawisz Win na klawiaturze i wpisz „Cmd” lub „Wiersz polecenia”. Gdy pojawi się wynik, wybierz „Uruchom jako administrator”, aby otworzyć podwyższone okno wiersza polecenia.

2. Przed zmodyfikowaniem rejestru użyj poniższego polecenia, aby wykonać kopię zapasową. W ten sposób możesz wybrać przywrócenie protokołu, gdy Microsoft wprowadzi oficjalną poprawkę. Tutaj ścieżka pliku odnosi się do lokalizacji, w której chcesz zapisać plik kopii zapasowej .reg.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. Możesz teraz uruchomić następujące polecenie, aby wyłączyć protokół URL MSDT. Jeśli się powiedzie, zobaczysz tekst „Operacja zakończona pomyślnie” w oknie wiersza polecenia.

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. Aby później przywrócić protokół, będziesz musiał użyć kopii zapasowej rejestru wykonanej w drugim kroku. Uruchom poniższe polecenie, a ponownie uzyskasz dostęp do protokołu URL MSDT.

reg import <file_path.reg>

Chroń swój komputer z systemem Windows przed luką w zabezpieczeniach systemu Windows Zero-Day w programie MSDT

Oto kroki, które należy wykonać, aby wyłączyć protokół URL MSDT na komputerze z systemem Windows, aby zapobiec exploitowi Follina. Dopóki Microsoft nie wprowadzi oficjalnej poprawki bezpieczeństwa dla wszystkich wersji systemu Windows, możesz użyć tego wygodnego obejścia, aby zachować ochronę przed luką zero-day CVE-2022-30190 Windows Follina MSDT. Mówiąc o ochronie komputera przed złośliwymi programami, możesz również rozważyć zainstalowanie dedykowanych narzędzi do usuwania złośliwego oprogramowania lub oprogramowania antywirusowego, aby chronić się przed innymi wirusami.