Hur man åtgärdar Microsoft ”Follina” MSDT Windows Zero-Day sårbarhet

av

Microsoft har erkänt en kritisk nolldagarssårbarhet i Windows som påverkar alla större versioner, inklusive Windows 11, Windows 10, Windows 8.1 och till och med Windows 7. Sårbarheten, identifierad med spåraren CVE-2022-30190 eller Follina, låter angripare köra på distans skadlig programvara på Windows utan att utlösa Windows Defender eller annan säkerhetsprogramvara. Lyckligtvis har Microsoft delat en officiell lösning för att minska risken. I den här artikeln har vi detaljerat stegen för att skydda dina Windows 11/10-datorer från den senaste nolldagssårbarheten.

Åtgärda ”Follina” MSDT Windows Zero-Day sårbarhet (juni 2022)

Vad är Follina MSDT Windows Zero-Day (CVE-2022-30190) sårbarhet?

Innan vi kommer till stegen för att åtgärda sårbarheten, låt oss förstå vad exploateringen handlar om. Känd med spårningskoden CVE-2022-30190, är ​​nolldagsutnyttjandet kopplat till Microsoft Support Diagnostic Tool (MSDT). Med detta utnyttjande kan angripare fjärrköra PowerShell-kommandon via MSDT när de öppnar skadliga Office-dokument.

”En sårbarhet för exekvering av fjärrkod finns när MSDT anropas med URL-protokollet från ett anropande program som Word. En angripare som framgångsrikt utnyttjar denna sårbarhet kan köra godtycklig kod med privilegierna för det anropande programmet. Angriparen kan sedan installera program, visa, ändra eller ta bort data eller skapa nya konton i det sammanhang som användarens rättigheter tillåter”, förklarar Microsoft.

Som forskaren Kevin Beaumont förklarar använder attacken Words fjärrmallfunktion för att hämta en HTML-fil från en fjärrwebbserver. Den använder sedan ms-msdt MSProtocol URI-schemat för att ladda koden och köra PowerShell-kommandon. Som en sidoanteckning fick exploateringen namnet ”Follina” eftersom exempelfilen refererar till 0438, riktnummer för Follina, Italien.

Vid det här laget kanske du undrar varför Microsofts skyddade vy inte kommer att hindra dokumentet från att öppna länken. Tja, det beror på att exekveringen kan ske även utanför Protected Views räckvidd. Som forskaren John Hammond lyfte fram på Twitter, kan länken köras direkt från Utforskarens förhandsgranskningsfönster som en fil i Rich Text Format (.rtf).

Enligt ArsTechnicas rapport hade forskare vid Shadow Chaser Group uppmärksammat Microsoft på sårbarheten redan den 12 april. Även om Microsoft svarade en vecka senare, verkar företaget ha avfärdat det eftersom de inte kunde replikera samma sak på sin sida. Trots detta är sårbarheten nu flaggad som noll-dag, och Microsoft rekommenderar att du inaktiverar MSDT URL-protokollet som en lösning för att skydda din dator från utnyttjandet.

Är min Windows-dator sårbar för Follina-exploateringen?

På sin guidesida för säkerhetsuppdateringar har Microsoft listat 41 versioner av Windows som är sårbara för Follina CVE-2022-30190 sårbarhet. Det inkluderar Windows 7, Windows 8.1, Windows 10, Windows 11 och till och med Windows Server-utgåvor. Kolla in hela listan över berörda versioner nedan:

  • Windows 10 version 1607 för 32-bitarssystem
  • Windows 10 version 1607 för x64-baserade system
  • Windows 10 version 1809 för 32-bitarssystem
  • Windows 10 version 1809 för ARM64-baserade system
  • Windows 10 version 1809 för x64-baserade system
  • Windows 10 version 20H2 för 32-bitars system
  • Windows 10 version 20H2 för ARM64-baserade system
  • Windows 10 version 20H2 för x64-baserade system
  • Windows 10 version 21H1 för 32-bitarssystem
  • Windows 10 version 21H1 för ARM64-baserade system
  • Windows 10 version 21H1 för x64-baserade system
  • Windows 10 version 21H2 för 32-bitarssystem
  • Windows 10 version 21H2 för ARM64-baserade system
  • Windows 10 version 21H2 för x64-baserade system
  • Windows 10 för 32-bitars system
  • Windows 10 för x64-baserade system
  • Windows 11 för ARM64-baserade system
  • Windows 11 för x64-baserade system
  • Windows 7 för 32-bitars system Service Pack 1
  • Windows 7 för x64-baserade system Service Pack 1
  • Windows 8.1 för 32-bitars system
  • Windows 8.1 för x64-baserade system
  • Windows RT 8.1
  • Windows Server 2008 R2 för x64-baserade system Service Pack 1
  • Windows Server 2008 R2 för x64-baserade system Service Pack 1 (Server Core-installation)
  • Windows Server 2008 för 32-bitars system Service Pack 2
  • Windows Server 2008 för 32-bitars system Service Pack 2 (Server Core-installation)
  • Windows Server 2008 för x64-baserade system Service Pack 2
  • Windows Server 2008 för x64-baserade system Service Pack 2 (Server Core-installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core-installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core-installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core-installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core-installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core-installation)
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server, version 20H2 (Server Core Installation)

Inaktivera MSDT URL-protokoll för att skydda Windows från Follina-sårbarhet

1. Tryck på Win-tangenten på ditt tangentbord och skriv ”Cmd” eller ”Command Prompt”. När resultatet visas, välj ”Kör som administratör” för att öppna ett förhöjt kommandotolksfönster.

2. Innan du ändrar registret, använd kommandot nedan för att ta en säkerhetskopia. På så sätt kan du välja att återställa protokollet när Microsoft rullar ut en officiell patch. Här hänvisar filsökvägen till den plats där du vill spara .reg backup-filen.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. Du kan nu köra följande kommando för att inaktivera MSDT URL-protokollet. Om det lyckas kommer du att se texten ”Operationen slutfördes framgångsrikt” i kommandotolksfönstret. 

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. För att återställa protokollet senare måste du använda registersäkerhetskopian som du gjorde i det andra steget. Kör kommandot nedan så får du tillgång till MSDT URL-protokollet igen.

reg import <file_path.reg>

Skydda din Windows-dator från MSDT Windows Zero-Day-sårbarhet

Så det är stegen du måste följa för att inaktivera MSDT URL-protokollet på din Windows-dator för att förhindra Follina-exploateringen. Tills Microsoft rullar ut en officiell säkerhetskorrigering för alla versioner av Windows kan du använda den här praktiska lösningen för att hålla dig skyddad från CVE-2022-30190 Windows Follina MSDT noll-dagars sårbarhet. På tal om att skydda din dator mot skadliga program, kan du också överväga att installera dedikerade verktyg för borttagning av skadlig programvara eller antivirusprogram för att skydda dig från andra virus.