Microsoft har offentliggjort en allvarlig sårbarhet i Windows, som är känd som en noll-dagars sårbarhet. Denna sårbarhet påverkar alla större versioner av Windows, inklusive de senaste som Windows 11, Windows 10, samt äldre versioner som Windows 8.1 och till och med Windows 7. Sårbarheten, identifierad som CVE-2022-30190 eller ”Follina”, kan utnyttjas av angripare för att fjärrköra skadlig kod på Windows-system utan att aktivera Windows Defender eller annan säkerhetsprogramvara. Microsoft har tillhandahållit en officiell metod för att mildra risken. I den här artikeln beskriver vi detaljerade steg för att skydda dina Windows 11- och 10-datorer från denna nya noll-dagars sårbarhet.
Lösning för ”Follina” MSDT Windows Noll-dagars Sårbarhet (Juni 2022)
Vad är Follina MSDT Windows Noll-dagars Sårbarhet (CVE-2022-30190)?
Innan vi går in på stegen för att åtgärda sårbarheten, låt oss förklara vad denna exploatering innebär. Den kallas CVE-2022-30190 och är en noll-dagars exploatering relaterad till Microsoft Support Diagnostic Tool (MSDT). Denna sårbarhet gör det möjligt för angripare att fjärrköra PowerShell-kommandon via MSDT när ett skadligt Office-dokument öppnas.
Microsoft förklarar att en fjärrkods exekveringssårbarhet existerar när MSDT anropas via URL-protokollet från ett anropande program som Word. En angripare som lyckas utnyttja denna sårbarhet kan köra valfri kod med samma privilegier som det anropande programmet. Detta kan leda till att angriparen kan installera program, granska, ändra eller ta bort data, eller skapa nya användarkonton, beroende på användarens rättigheter.
Enligt säkerhetsforskaren Kevin Beaumont, utnyttjar attacken Words funktion för fjärrmallar för att hämta en HTML-fil från en extern server. Den använder sedan ms-msdt MSProtocol URI-schemat för att aktivera koden och köra PowerShell-kommandon. Exploateringen fick namnet ”Follina” eftersom det medföljande exempel-dokumentet refererar till 0438, som är riktnumret för Follina i Italien.
Du kanske undrar varför Microsofts skyddade vy inte hindrar dokumentet från att öppna den skadliga länken. Det beror på att exekveringen kan ske även utanför Protected Views begränsningar. Säkerhetsforskaren John Hammond påpekade på Twitter att länken kan köras direkt från Utforskarens förhandsgranskningsfönster, till och med i en fil i Rich Text Format (.rtf).
Enligt en rapport från Ars Technica hade forskare vid Shadow Chaser Group informerat Microsoft om sårbarheten redan den 12 april. Microsoft svarade en vecka senare, men avfärdade den tydligen eftersom de inte kunde återskapa situationen. Trots detta har sårbarheten nu betecknats som en noll-dagars sårbarhet och Microsoft rekommenderar att MSDT URL-protokollet inaktiveras som en tillfällig lösning för att skydda din dator.
Är min Windows-dator sårbar för Follina-exploateringen?
På sin sida för säkerhetsuppdateringar har Microsoft listat 41 olika versioner av Windows som är sårbara för Follina CVE-2022-30190 sårbarhet. Detta inkluderar Windows 7, Windows 8.1, Windows 10, Windows 11 och diverse utgåvor av Windows Server. Se nedan för hela listan över berörda versioner:
- Windows 10 version 1607 för 32-bitars system
- Windows 10 version 1607 för x64-baserade system
- Windows 10 version 1809 för 32-bitars system
- Windows 10 version 1809 för ARM64-baserade system
- Windows 10 version 1809 för x64-baserade system
- Windows 10 version 20H2 för 32-bitars system
- Windows 10 version 20H2 för ARM64-baserade system
- Windows 10 version 20H2 för x64-baserade system
- Windows 10 version 21H1 för 32-bitars system
- Windows 10 version 21H1 för ARM64-baserade system
- Windows 10 version 21H1 för x64-baserade system
- Windows 10 version 21H2 för 32-bitars system
- Windows 10 version 21H2 för ARM64-baserade system
- Windows 10 version 21H2 för x64-baserade system
- Windows 10 för 32-bitars system
- Windows 10 för x64-baserade system
- Windows 11 för ARM64-baserade system
- Windows 11 för x64-baserade system
- Windows 7 för 32-bitars system Service Pack 1
- Windows 7 för x64-baserade system Service Pack 1
- Windows 8.1 för 32-bitars system
- Windows 8.1 för x64-baserade system
- Windows RT 8.1
- Windows Server 2008 R2 för x64-baserade system Service Pack 1
- Windows Server 2008 R2 för x64-baserade system Service Pack 1 (Server Core-installation)
- Windows Server 2008 för 32-bitars system Service Pack 2
- Windows Server 2008 för 32-bitars system Service Pack 2 (Server Core-installation)
- Windows Server 2008 för x64-baserade system Service Pack 2
- Windows Server 2008 för x64-baserade system Service Pack 2 (Server Core-installation)
- Windows Server 2012
- Windows Server 2012 (Server Core-installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core-installation)
- Windows Server 2016
- Windows Server 2016 (Server Core-installation)
- Windows Server 2019
- Windows Server 2019 (Server Core-installation)
- Windows Server 2022
- Windows Server 2022 (Server Core-installation)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, version 20H2 (Server Core Installation)
Inaktivera MSDT URL-protokoll för att skydda Windows från Follina-sårbarheten
1. Öppna Start-menyn och sök efter ”Cmd” eller ”Kommandotolken”. Högerklicka på resultatet och välj ”Kör som administratör” för att öppna en upphöjd kommandotolk.
2. Innan du ändrar registret är det viktigt att ta en säkerhetskopia. Detta gör att du kan återställa protokollet om Microsoft släpper en officiell patch. Kommandot nedan skapar en .reg-fil med din säkerhetskopia. Byt ut `<file_path.reg>` mot önskad sökväg där du vill spara filen:
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Använd sedan följande kommando för att inaktivera MSDT URL-protokollet. Om det lyckas kommer du att se texten ”Åtgärden slutfördes” i kommandotolksfönstret.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. För att återställa protokollet senare, använd registersäkerhetskopian du skapade i steg 2. Kör kommandot nedan för att återaktivera MSDT URL-protokollet:
reg import <file_path.reg>
Skydda din Windows-dator mot MSDT Windows Noll-dagars Sårbarhet
Detta är stegen du bör följa för att inaktivera MSDT URL-protokollet på din Windows-dator för att skydda dig mot Follina-exploateringen. Tills Microsoft släpper en officiell säkerhetsuppdatering för alla versioner av Windows kan du använda den här metoden för att skydda dig mot CVE-2022-30190 Windows Follina MSDT noll-dagars sårbarhet. Som ett extra skydd mot skadlig kod kan du också installera specifika verktyg för borttagning av skadlig kod eller ett antivirusprogram för att skydda dig mot andra virus.