Како поправити Мицрософт „Фоллина“ МСДТ Виндовс рањивост Зеро-Даи

by
Tweet
Share
Share
Pin

Мицрософт је признао критичну рањивост нултог дана у Виндовс-у која утиче на све главне верзије, укључујући Виндовс 11, Виндовс 10, Виндовс 8.1, па чак и Виндовс 7. Рањивост, идентификована помоћу трагача ЦВЕ-2022-30190 или Фоллина, омогућава нападачима да трче на даљину малвер на Виндовс-у без покретања Виндовс Дефендер-а или другог безбедносног софтвера. На срећу, Мицрософт је поделио званично решење за ублажавање ризика. У овом чланку смо детаљно описали кораке за заштиту ваших Виндовс 11/10 рачунара од најновије рањивости нултог дана.

Исправите рањивост „Фоллина” МСДТ Виндовс нула дана (јун 2022.)

Шта је рањивост Фоллина МСДТ Виндовс Зеро-Даи (ЦВЕ-2022-30190)?

Пре него што пређемо на кораке за отклањање рањивости, хајде да разумемо о чему се ради. Познат по ЦВЕ-2022-30190 коду за праћење, експлоатација нултог дана је повезана са дијагностичком алатком Мицрософт Суппорт (МСДТ). Са овим експлоатацијом, нападачи могу даљински да покрећу ПоверСхелл команде преко МСДТ-а када отварају злонамерне Оффице документе.

„Рањивост даљинског извршавања кода постоји када се МСДТ позове помоћу УРЛ протокола из апликације која позива као што је Ворд. Нападач који успешно искористи ову рањивост може покренути произвољни код са привилегијама апликације која позива. Нападач тада може да инсталира програме, прегледа, мења или брише податке или креира нове налоге у контексту који дозвољавају права корисника“, објашњава Мицрософт.

  Поправите Фирефок ССЛ_ЕРРОР_НО_ЦИПХЕР_ОВЕРЛАП у оперативном систему Виндовс 10

Како објашњава истраживач Кевин Беаумонт, напад користи Вордову функцију удаљеног шаблона за преузимање ХТМЛ датотеке са удаљеног веб сервера. Затим користи мс-мсдт МСПротоцол УРИ шему да учита код и изврши ПоверСхелл команде. Као споредна напомена, експлоатација је добила назив „Фоллина“ јер се узорак датотеке позива на 0438, позивни број Фолине, Италија.

У овом тренутку, можда се питате зашто Мицрософтов заштићени приказ неће спречити документ да отвори везу. Па, то је зато што би извршење могло да се деси чак и изван домета заштићеног погледа. Као што је истраживач Џон Хамонд истакао на Твитеру, веза би могла да се изврши директно из окна за преглед Екплорер-а као датотека у формату богатог текста (.ртф).

Према извештају АрсТецхнице, истраживачи у Схадов Цхасер Гроуп-у су скренули пажњу на рањивост Мицрософта још 12. априла. Иако је Мицрософт одговорио недељу дана касније, чини се да је компанија то одбацила јер нису могли да реплицирају исту на својој страни. Ипак, рањивост је сада означена као нулти дан, а Мицрософт препоручује да онемогућите МСДТ УРЛ протокол као решење за заштиту рачунара од експлоатације.

Да ли је мој Виндовс ПЦ рањив на Фоллина Екплоит?

На својој страници водича за безбедносно ажурирање, Мицрософт је навео 41 верзију оперативног система Виндовс које су рањиве на Фоллина ЦВЕ-2022-30190 рањивост. Укључује Виндовс 7, Виндовс 8.1, Виндовс 10, Виндовс 11, па чак и Виндовс Сервер издања. Погледајте комплетну листу захваћених верзија у наставку:

  • Виндовс 10 верзија 1607 за 32-битне системе
  • Виндовс 10 верзија 1607 за системе засноване на к64
  • Виндовс 10 верзија 1809 за 32-битне системе
  • Виндовс 10 верзија 1809 за системе засноване на АРМ64
  • Виндовс 10 верзија 1809 за системе засноване на к64
  • Виндовс 10 верзија 20Х2 за 32-битне системе
  • Виндовс 10 верзија 20Х2 за системе засноване на АРМ64
  • Виндовс 10 верзија 20Х2 за системе засноване на к64
  • Виндовс 10 верзија 21Х1 за 32-битне системе
  • Виндовс 10 верзија 21Х1 за системе засноване на АРМ64
  • Виндовс 10 верзија 21Х1 за системе засноване на к64
  • Виндовс 10 верзија 21Х2 за 32-битне системе
  • Виндовс 10 верзија 21Х2 за системе засноване на АРМ64
  • Виндовс 10 верзија 21Х2 за системе засноване на к64
  • Виндовс 10 за 32-битне системе
  • Виндовс 10 за системе засноване на к64
  • Виндовс 11 за системе засноване на АРМ64
  • Виндовс 11 за системе засноване на к64
  • Виндовс 7 за 32-битне системе сервисни пакет 1
  • Виндовс 7 за системске системе засноване на к64 сервисном пакету 1
  • Виндовс 8.1 за 32-битне системе
  • Виндовс 8.1 за системе засноване на к64
  • Виндовс РТ 8.1
  • Виндовс Сервер 2008 Р2 за системе засноване на к64 сервисном пакету 1
  • Виндовс Сервер 2008 Р2 за системе засноване на к64 сервисном пакету 1 (инсталација језгра сервера)
  • Виндовс Сервер 2008 за 32-битне системе сервисни пакет 2
  • Виндовс Сервер 2008 за 32-битне системе сервисни пакет 2 (инсталација језгра сервера)
  • Виндовс Сервер 2008 за системски сервисни пакет 2 заснован на к64
  • Виндовс Сервер 2008 за системски сервисни пакет 2 заснован на к64 (инсталација језгра сервера)
  • Виндовс Сервер 2012
  • Виндовс Сервер 2012 (инсталација језгра сервера)
  • Виндовс Сервер 2012 Р2
  • Виндовс Сервер 2012 Р2 (инсталација језгра сервера)
  • Виндовс Сервер 2016
  • Виндовс Сервер 2016 (инсталација језгра сервера)
  • Виндовс Сервер 2019
  • Виндовс Сервер 2019 (инсталација језгра сервера)
  • Виндовс Сервер 2022
  • Виндовс Сервер 2022 (инсталација језгра сервера)
  • Виндовс Сервер 2022 Азуре Едитион Цоре Хотпатцх
  • Виндовс Сервер, верзија 20Х2 (инсталација језгра сервера)
  Како да конфигуришете поставке безбедног режима на Виндовс 10

Онемогућите МСДТ УРЛ протокол да бисте заштитили Виндовс од Фолина рањивости

1. Притисните тастер Вин на тастатури и откуцајте „Цмд“ или „Цомманд Промпт“. Када се појави резултат, изаберите „Покрени као администратор“ да бисте отворили повишени прозор командне линије.

2. Пре него што измените регистар, користите наредбу испод да направите резервну копију. На овај начин можете изабрати да вратите протокол када Мицрософт објави званичну закрпу. Овде се путања датотеке односи на локацију на којој желите да сачувате .рег резервну датотеку.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. Сада можете да покренете следећу команду да бисте онемогућили МСДТ УРЛ протокол. Ако успе, видећете текст „Операција је успешно завршена“ у прозору командне линије. 

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. Да бисте касније вратили протокол, мораћете да користите резервну копију регистратора коју сте направили у другом кораку. Покрените наредбу у наставку и поново ћете имати приступ МСДТ УРЛ протоколу.

reg import <file_path.reg>

Заштитите свој Виндовс рачунар од МСДТ рањивости Виндовс Зеро-Даи

Дакле, ово су кораци које морате да пратите да бисте онемогућили МСДТ УРЛ протокол на вашем Виндовс рачунару да бисте спречили злоупотребу Фоллина. Док Мицрософт не објави званичну безбедносну закрпу за све верзије оперативног система Виндовс, можете да користите ово практично решење да бисте остали заштићени од ЦВЕ-2022-30190 Виндовс Фоллина МСДТ рањивости нултог дана. Говорећи о заштити рачунара од злонамерних програма, такође бисте могли да размислите о инсталирању наменских алата за уклањање малвера или антивирусног софтвера како бисте били сигурни од других вируса.