Як выправіць уразлівасць нулявага дня ў Windows MSDT “Follina”.

Microsoft прызнала крытычную ўразлівасць нулявага дня ў Windows, якая закранае ўсе асноўныя версіі, у тым ліку Windows 11, Windows 10, Windows 8.1 і нават Windows 7. Уразлівасць, ідэнтыфікаваная з дапамогай трэкера CVE-2022-30190 або Follina, дазваляе зламыснікам працаваць выдалена шкоднаснае праграмнае забеспячэнне на Windows, не запускаючы Windows Defender або іншае праграмнае забеспячэнне бяспекі. На шчасце, Microsoft падзялілася афіцыйным спосабам ліквідацыі рызыкі. У гэтым артыкуле мы падрабязна апісалі крокі для абароны вашых ПК з Windows 11/10 ад апошняй уразлівасці нулявага дня.

Выпраўленне ўразлівасці MSDT “Follina” Windows Zero-Day (чэрвень 2022 г.)

Што такое ўразлівасць Follina MSDT Windows Zero-Day (CVE-2022-30190)?

Перш чым мы пяройдзем да крокаў па ліквідацыі ўразлівасці, давайце разбярэмся, што гэта за эксплойт. Вядомы з кодам трэкера CVE-2022-30190, эксплойт нулявага дня звязаны з інструментам дыягностыкі падтрымкі Microsoft (MSDT). З дапамогай гэтага эксплойта зламыснікі могуць выдалена запускаць каманды PowerShell праз MSDT пры адкрыцці шкоднасных дакументаў Office.

«Уразлівасць аддаленага выканання кода існуе, калі MSDT выклікаецца з выкарыстаннем пратаколу URL з прыкладання, якое выклікае выклік, такога як Word. Зламыснік, які паспяхова выкарыстоўвае гэтую ўразлівасць, можа запусціць адвольны код з прывілеямі прыкладання, якое выклікае. Затым зламыснік можа ўсталёўваць праграмы, праглядаць, змяняць або выдаляць дадзеныя або ствараць новыя ўліковыя запісы ў кантэксце, дазволеным правамі карыстальніка», — тлумачыць Microsoft.

Як тлумачыць даследчык Кевін Бомонт, атака выкарыстоўвае функцыю аддаленага шаблону Word для атрымання файла HTML з аддаленага вэб-сервера. Затым ён выкарыстоўвае схему URI ms-msdt MSProtocol для загрузкі кода і выканання каманд PowerShell. У якасці пабочнай заўвагі эксплойт атрымаў назву «Follina», таму што ў прыкладзе файла спасылаецца 0438, код раёна горада Фоліна, Італія.

Праверце гэта:  Аддалена заблакаваць свой Mac або ПК з Windows з iPhone або Apple Watch [Giveaway]

У гэты момант вам можа быць цікава, чаму абароненае прагляд Microsoft не перашкаджае адкрыццю дакумента па спасылцы. Ну, гэта таму, што выкананне можа адбыцца нават за рамкамі Protected View. Як адзначыў даследчык Джон Хаманд у Twitter, спасылка можа быць выканана прама з панэлі папярэдняга прагляду Правадыра ў выглядзе файла ў фармаце Rich Text (.rtf).

Паводле справаздачы ArsTechnica, даследчыкі з Shadow Chaser Group звярнулі ўвагу Microsoft на ўразлівасць яшчэ 12 красавіка. Хоць Microsoft адказала праз тыдзень, кампанія, здаецца, адхіліла гэта, бо не змагла паўтарыць тое ж самае са свайго боку. Тым не менш, цяпер уразлівасць пазначана як нулявы дзень, і Microsoft рэкамендуе адключыць пратакол MSDT URL у якасці абыходнага шляху, каб абараніць ваш кампутар ад эксплойта.

Ці ўразлівы мой ПК з Windows да эксплойту Follina?

На сваёй старонцы кіраўніцтва па абнаўленні бяспекі Microsoft пералічыла 41 версію Windows, якія ўразлівыя да ўразлівасці Follina CVE-2022-30190. Яна ўключае ў сябе Windows 7, Windows 8.1, Windows 10, Windows 11 і нават выданні Windows Server. Праверце поўны спіс закранутых версій ніжэй:

  • Windows 10 версія 1607 для 32-разрадных сістэм
  • Windows 10 версія 1607 для сістэм на базе x64
  • Windows 10 версія 1809 для 32-разрадных сістэм
  • Windows 10 версія 1809 для сістэм на базе ARM64
  • Windows 10 версія 1809 для сістэм на базе x64
  • Windows 10 версія 20H2 для 32-разрадных сістэм
  • Windows 10 версія 20H2 для сістэм на базе ARM64
  • Windows 10 версія 20H2 для сістэм на базе x64
  • Windows 10 версія 21H1 для 32-разрадных сістэм
  • Windows 10 версія 21H1 для сістэм на базе ARM64
  • Windows 10 версія 21H1 для сістэм на базе x64
  • Windows 10 версія 21H2 для 32-разрадных сістэм
  • Windows 10 версія 21H2 для сістэм на базе ARM64
  • Windows 10 версія 21H2 для сістэм на базе x64
  • Windows 10 для 32-разрадных сістэм
  • Windows 10 для сістэм на базе x64
  • Windows 11 для сістэм на базе ARM64
  • Windows 11 для сістэм на базе x64
  • Windows 7 для 32-разрадных сістэм з пакетам абнаўлення 1
  • Windows 7 для сістэм на базе x64 з пакетам абнаўлення 1
  • Windows 8.1 для 32-разрадных сістэм
  • Windows 8.1 для сістэм на базе x64
  • Windows RT 8.1
  • Windows Server 2008 R2 для сістэм на базе x64 з пакетам абнаўлення 1
  • Windows Server 2008 R2 для сістэм на базе x64 з пакетам абнаўлення 1 (усталёўка ядра сервера)
  • Windows Server 2008 для 32-разрадных сістэм з пакетам абнаўлення 2
  • Windows Server 2008 для 32-разрадных сістэм з пакетам абнаўлення 2 (усталёўка ядра сервера)
  • Windows Server 2008 для сістэм на базе x64 з пакетам абнаўлення 2
  • Windows Server 2008 для сістэм на базе x64 з пакетам абнаўлення 2 (усталёўка ядра сервера)
  • Windows Server 2012
  • Windows Server 2012 (устаноўка ядра сервера)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (устаноўка ядра сервера)
  • Windows Server 2016
  • Windows Server 2016 (устаноўка ядра сервера)
  • Windows Server 2019
  • Windows Server 2019 (устаноўка ядра сервера)
  • Windows Server 2022
  • Windows Server 2022 (устаноўка ядра сервера)
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server, версія 20H2 (Устаноўка ядра сервера)
Праверце гэта:  Як выправіць гадзіннік Windows, усталяваны на няправільны час

Адключыце пратакол MSDT URL, каб абараніць Windows ад уразлівасці Follina

1. Націсніце клавішу Win на клавіятуры і ўвядзіце «Cmd» або «Камандны радок». Калі з’явіцца вынік, выберыце «Запуск ад імя адміністратара», каб адкрыць акно каманднага радка з падвышанымі правамі.

2. Перад тым як змяніць рэестр, выкарыстоўвайце каманду ніжэй, каб зрабіць рэзервовую копію. Такім чынам, вы можаце аднавіць пратакол пасля таго, як Microsoft выпусціць афіцыйны патч. Тут шлях да файла адносіцца да месца, дзе вы хочаце захаваць файл рэзервовай копіі .reg.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. Цяпер вы можаце выканаць наступную каманду, каб адключыць пратакол MSDT URL. У выпадку поспеху ў акне каманднага радка вы ўбачыце тэкст «Аперацыя паспяхова завершана».

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. Каб аднавіць пратакол пазней, вам трэба будзе выкарыстоўваць рэзервовую копію рэестра, якую вы зрабілі на другім этапе. Выканайце каманду ніжэй, і вы зноў атрымаеце доступ да пратаколу MSDT URL.

reg import <file_path.reg>

Абараніце свой ПК з Windows ад уразлівасці MSDT Windows Zero-Day

Такім чынам, гэта крокі, якія вам трэба выканаць, каб адключыць пратакол MSDT URL на вашым ПК з Windows, каб прадухіліць эксплойт Follina. Пакуль Microsoft не выпусціць афіцыйны патч бяспекі для ўсіх версій Windows, вы можаце выкарыстоўваць гэты зручны абыходны шлях, каб застацца абароненым ад уразлівасці нулявага дня CVE-2022-30190 Windows Follina MSDT. Гаворачы аб абароне вашага ПК ад шкоднасных праграм, вы таксама можаце разгледзець магчымасць усталявання спецыяльных інструментаў для выдалення шкоднасных праграм або антывіруснага праграмнага забеспячэння, каб засцерагчыся ад іншых вірусаў.

Праверце гэта:  Якую версію Windows 10 загружае інструмент для стварэння медыя?