A Microsoft elismerte a Windows kritikus, nulladik napi sebezhetőségét, amely az összes főbb verziót érinti, beleértve a Windows 11-et, a Windows 10-et, a Windows 8.1-et és még a Windows 7-et is. A CVE-2022-30190 vagy Follina nyomkövetővel azonosított sebezhetőség lehetővé teszi a támadók távoli futtatását. rosszindulatú program a Windows rendszeren a Windows Defender vagy más biztonsági szoftver elindítása nélkül. Szerencsére a Microsoft megosztott egy hivatalos megoldást a kockázat csökkentésére. Ebben a cikkben részleteztük azokat a lépéseket, amelyekkel megvédheti Windows 11/10 rendszerű számítógépeit a legújabb nulladik napi sebezhetőségtől.
Tartalomjegyzék
A „Follina” MSDT Windows nulladik napi sebezhetőségének javítása (2022. június)
Mi az a Follina MSDT Windows Zero-Day (CVE-2022-30190) biztonsági rése?
Mielőtt rátérnénk a sebezhetőség kijavításának lépéseire, értsük meg, miről is szól a kizsákmányolás. A CVE-2022-30190 nyomkövető kóddal ismert nulladik napos exploit a Microsoft támogatási diagnosztikai eszközéhez (MSDT) kapcsolódik. Ezzel a kihasználással a támadók távolról futtathatnak PowerShell-parancsokat az MSDT-n keresztül rosszindulatú Office-dokumentumok megnyitásakor.
„A távoli kódfuttatást lehetővé tévő biztonsági rés akkor áll fenn, ha az MSDT-t az URL-protokoll használatával hívják meg egy hívó alkalmazásból, például a Wordből. A biztonsági rést sikeresen kihasználó támadó tetszőleges kódot futtathat a hívó alkalmazás jogosultságaival. A támadó ezután programokat telepíthet, adatokat tekinthet meg, módosíthat vagy törölhet, illetve új fiókokat hozhat létre a felhasználói jogok által megengedett kontextusban” – magyarázza a Microsoft.
Ahogy Kevin Beaumont kutató elmagyarázza, a támadás a Word távoli sablon funkcióját használja egy HTML-fájl lekérésére egy távoli webszerverről. Ezután az ms-msdt MSProtocol URI sémát használja a kód betöltéséhez és a PowerShell-parancsok végrehajtásához. Mellékesen megjegyzendő, hogy az exploit a „Follina” nevet kapta, mert a mintafájl az olaszországi Follina körzetszámára, a 0438-ra hivatkozik.
Ezen a ponton felmerülhet a kérdés, hogy a Microsoft védett nézete miért nem akadályozza meg a dokumentumot a hivatkozás megnyitásában. Nos, ez azért van, mert a végrehajtás még a Védett nézet hatókörén kívül is megtörténhet. Ahogy John Hammond kutató kiemelte a Twitteren, a hivatkozás közvetlenül az Intéző előnézeti ablaktáblájából is végrehajtható Rich Text Format (.rtf) fájlként.
Az ArsTechnica jelentése szerint a Shadow Chaser Group kutatói már április 12-én felhívták a Microsoft figyelmét a sérülékenységre. Bár a Microsoft egy héttel később válaszolt, a cég úgy tűnik, elvetette, mivel nem tudták megismételni ugyanazt. Ennek ellenére a sérülékenységet most nulladik napon jelzik, és a Microsoft az MSDT URL protokoll letiltását javasolja megoldásként, hogy megvédje számítógépét a visszaélésektől.
A Windows PC-m sebezhető a Follina Exploit miatt?
A biztonsági frissítések útmutatóján a Microsoft a Windows 41 olyan verzióját sorolta fel, amelyek sebezhetők a Follina CVE-2022-30190 biztonsági rés miatt. Tartalmazza a Windows 7, Windows 8.1, Windows 10, Windows 11 és még Windows Server kiadásokat is. Tekintse meg alább az érintett verziók teljes listáját:
- Windows 10 1607-es verzió 32 bites rendszerekhez
- Windows 10 1607-es verzió x64-alapú rendszerekhez
- Windows 10 1809-es verzió 32 bites rendszerekhez
- Windows 10 1809-es verzió ARM64 alapú rendszerekhez
- Windows 10 1809-es verzió x64-alapú rendszerekhez
- Windows 10 20H2 verzió 32 bites rendszerekhez
- Windows 10 20H2 verzió ARM64 alapú rendszerekhez
- Windows 10 20H2 verzió x64 alapú rendszerekhez
- Windows 10 21H1 verzió 32 bites rendszerekhez
- Windows 10 21H1 verzió ARM64 alapú rendszerekhez
- Windows 10 21H1 verzió x64 alapú rendszerekhez
- Windows 10 21H2 verzió 32 bites rendszerekhez
- Windows 10 21H2-es verzió ARM64-alapú rendszerekhez
- Windows 10 21H2 verzió x64 alapú rendszerekhez
- Windows 10 32 bites rendszerekhez
- Windows 10 x64-alapú rendszerekhez
- Windows 11 ARM64 alapú rendszerekhez
- Windows 11 x64-alapú rendszerekhez
- Windows 7 32 bites rendszerekhez Service Pack 1
- Windows 7 x64-alapú rendszerekhez Service Pack 1
- Windows 8.1 32 bites rendszerekhez
- Windows 8.1 x64-alapú rendszerekhez
- Windows RT 8.1
- Windows Server 2008 R2 x64-alapú rendszerekhez Service Pack 1
- Windows Server 2008 R2 x64-alapú rendszerekhez Service Pack 1 (Server Core telepítés)
- Windows Server 2008 32 bites rendszerekhez Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core telepítés)
- Windows Server 2008 x64-alapú rendszerekhez Service Pack 2
- Windows Server 2008 x64-alapú rendszerekhez Service Pack 2 (Server Core telepítés)
- Windows Server 2012
- Windows Server 2012 (Server Core telepítés)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core telepítés)
- Windows Server 2016
- Windows Server 2016 (Server Core telepítés)
- Windows Server 2019
- Windows Server 2019 (Server Core telepítés)
- Windows Server 2022
- Windows Server 2022 (Server Core telepítés)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, 20H2 verzió (szervermag telepítés)
Tiltsa le az MSDT URL protokollt, hogy megvédje a Windowst a Follina sebezhetőségétől
1. Nyomja meg a Win gombot a billentyűzeten, és írja be a „Cmd” vagy a „Command Prompt” parancsot. Amikor megjelenik az eredmény, válassza a „Futtatás rendszergazdaként” lehetőséget a megemelt parancssori ablak megnyitásához.
2. A beállításjegyzék módosítása előtt az alábbi paranccsal készítsen biztonsági másolatot. Így dönthet úgy, hogy visszaállítja a protokollt, miután a Microsoft kiad egy hivatalos javítást. Itt a fájl elérési útja arra a helyre utal, ahová menteni szeretné a .reg biztonsági másolatfájlt.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Most már futtathatja a következő parancsot az MSDT URL protokoll letiltásához. Ha sikeres, akkor a „A művelet sikeresen befejeződött” szöveg jelenik meg a Parancssor ablakban.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. A protokoll későbbi visszaállításához a második lépésben készített rendszerleíró adatbázis biztonsági másolatát kell használnia. Futtassa az alábbi parancsot, és ismét hozzáférhet az MSDT URL protokollhoz.
reg import <file_path.reg>
Védje Windows PC-jét az MSDT Windows nulladik napi sebezhetőségétől
Tehát ezeket a lépéseket kell követnie az MSDT URL protokoll letiltásához a Windows PC-n, hogy megakadályozza a Follina kihasználását. Amíg a Microsoft ki nem bocsát egy hivatalos biztonsági javítást a Windows összes verziójához, ezt a kényelmes megoldást használhatja, hogy megvédje magát a CVE-2022-30190 Windows Follina MSDT nulladik napi sebezhetőségétől. A számítógép rosszindulatú programokkal szembeni védelméről szólva fontolóra veheti dedikált kártevő-eltávolító eszközök vagy víruskereső szoftverek telepítését is, hogy megvédje magát más vírusoktól.