Microsoft potvrdil kritickou zero-day zranitelnost ve Windows, která postihuje všechny hlavní verze, včetně Windows 11, Windows 10, Windows 8.1 a dokonce Windows 7. Tato zranitelnost, identifikovaná pomocí sledovače CVE-2022-30190 nebo Follina, umožňuje útočníkům vzdáleně spustit malware v systému Windows bez spuštění programu Windows Defender nebo jiného bezpečnostního softwaru. Naštěstí Microsoft sdílel oficiální řešení ke zmírnění rizika. V tomto článku jsme podrobně popsali kroky k ochraně počítačů se systémem Windows 11/10 před nejnovější zranitelností zero-day.
Table of Contents
Oprava chyby zabezpečení „Follina“ MSDT Windows Zero-Day (červen 2022)
Co je chyba zabezpečení Follina MSDT Windows Zero-Day (CVE-2022-30190)?
Než se dostaneme ke krokům k opravě zranitelnosti, pojďme pochopit, o čem exploit je. Tento zero-day exploit, známý pomocí sledovacího kódu CVE-2022-30190, je propojen s diagnostickým nástrojem Microsoft Support Diagnostic Tool (MSDT). Pomocí tohoto exploitu mohou útočníci vzdáleně spouštět příkazy PowerShellu prostřednictvím nástroje MSDT při otevírání škodlivých dokumentů Office.
„Při volání nástroje MSDT pomocí protokolu URL z volající aplikace, jako je Word, existuje chyba zabezpečení umožňující vzdálené spuštění kódu. Útočník, který úspěšně zneužije tuto chybu zabezpečení, může spustit libovolný kód s oprávněními volající aplikace. Útočník pak může instalovat programy, prohlížet, měnit nebo mazat data nebo vytvářet nové účty v kontextu povoleném právy uživatele,“ vysvětluje Microsoft.
Jak vysvětluje výzkumník Kevin Beaumont, útok využívá funkci vzdálené šablony aplikace Word k načtení souboru HTML ze vzdáleného webového serveru. Poté použije schéma URI ms-msdt MSProtocol k načtení kódu a spuštění příkazů PowerShellu. Jako vedlejší poznámku, exploit dostal jméno „Follina“, protože ukázkový soubor odkazuje na 0438, kód oblasti Follina, Itálie.
V tuto chvíli se možná divíte, proč chráněné zobrazení Microsoftu nezabrání dokumentu otevřít odkaz. No, to proto, že k popravě může dojít i mimo rozsah chráněného pohledu. Jak výzkumník John Hammond zdůraznil na Twitteru, odkaz se mohl spustit přímo z podokna náhledu Průzkumníka jako soubor ve formátu RTF (.rtf).
Podle zprávy ArsTechnica výzkumníci ze skupiny Shadow Chaser Group upozornili na zranitelnost Microsoftu již 12. dubna. Ačkoli Microsoft odpověděl o týden později, zdá se, že společnost to odmítla, protože totéž nedokázali replikovat na svém konci. Chyba zabezpečení je však nyní označena zero-day a společnost Microsoft doporučuje deaktivovat protokol MSDT URL jako řešení pro ochranu vašeho počítače před zneužitím.
Je můj počítač se systémem Windows zranitelný vůči zneužití Follina?
Společnost Microsoft na své stránce průvodce aktualizací zabezpečení uvádí 41 verzí systému Windows, které jsou zranitelné zranitelností Follina CVE-2022-30190. Zahrnuje Windows 7, Windows 8.1, Windows 10, Windows 11 a dokonce edice Windows Server. Podívejte se na úplný seznam dotčených verzí níže:
- Windows 10 verze 1607 pro 32bitové systémy
- Windows 10 verze 1607 pro systémy založené na x64
- Windows 10 verze 1809 pro 32bitové systémy
- Windows 10 verze 1809 pro systémy založené na ARM64
- Windows 10 verze 1809 pro systémy založené na x64
- Windows 10 verze 20H2 pro 32bitové systémy
- Windows 10 verze 20H2 pro systémy založené na ARM64
- Windows 10 verze 20H2 pro systémy založené na x64
- Windows 10 verze 21H1 pro 32bitové systémy
- Windows 10 verze 21H1 pro systémy založené na ARM64
- Windows 10 verze 21H1 pro systémy založené na x64
- Windows 10 verze 21H2 pro 32bitové systémy
- Windows 10 verze 21H2 pro systémy založené na ARM64
- Windows 10 verze 21H2 pro systémy založené na x64
- Windows 10 pro 32bitové systémy
- Windows 10 pro systémy založené na x64
- Windows 11 pro systémy založené na ARM64
- Windows 11 pro systémy založené na x64
- Windows 7 pro 32bitové systémy Service Pack 1
- Windows 7 pro systémy založené na x64 Service Pack 1
- Windows 8.1 pro 32bitové systémy
- Windows 8.1 pro systémy založené na x64
- Windows RT 8.1
- Windows Server 2008 R2 pro systémy založené na x64 Service Pack 1
- Windows Server 2008 R2 pro systémy založené na x64 Service Pack 1 (instalace Server Core)
- Windows Server 2008 pro 32bitové systémy Service Pack 2
- Windows Server 2008 pro 32bitové systémy Service Pack 2 (instalace Server Core)
- Windows Server 2008 pro systémy založené na x64 Service Pack 2
- Windows Server 2008 pro systémy založené na x64 Service Pack 2 (instalace Server Core)
- Windows Server 2012
- Windows Server 2012 (instalace Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (instalace Server Core)
- Windows Server 2016
- Windows Server 2016 (instalace Server Core)
- Windows Server 2019
- Windows Server 2019 (instalace Server Core)
- Windows Server 2022
- Windows Server 2022 (instalace Server Core)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, verze 20H2 (instalace jádra serveru)
Zakažte protokol MSDT URL pro ochranu Windows před zranitelností Follina
1. Stiskněte klávesu Win na klávesnici a zadejte „Cmd“ nebo „Příkazový řádek“. Když se objeví výsledek, zvolte „Spustit jako správce“ a otevřete okno příkazového řádku se zvýšenými oprávněními.
2. Před úpravou registru vytvořte zálohu pomocí příkazu níže. Tímto způsobem se můžete rozhodnout obnovit protokol, jakmile společnost Microsoft vydá oficiální opravu. Zde cesta k souboru odkazuje na umístění, kam chcete uložit záložní soubor REG.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Nyní můžete spustit následující příkaz a deaktivovat protokol MSDT URL. Pokud bude úspěšná, zobrazí se v okně příkazového řádku text „Operace byla úspěšně dokončena“.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. Chcete-li protokol později obnovit, budete muset použít zálohu registru, kterou jste vytvořili v druhém kroku. Spusťte níže uvedený příkaz a budete mít znovu přístup k protokolu MSDT URL.
reg import <file_path.reg>
Chraňte svůj počítač se systémem Windows před zranitelností MSDT Windows Zero-Day
Toto jsou kroky, které musíte provést, abyste zakázali protokol MSDT URL na vašem počítači se systémem Windows, abyste zabránili zneužití Follina. Dokud společnost Microsoft nezavede oficiální opravu zabezpečení pro všechny verze systému Windows, můžete použít toto praktické řešení, abyste zůstali chráněni před zranitelností CVE-2022-30190 Windows Follina MSDT zero-day. Když už mluvíme o ochraně vašeho počítače před škodlivými programy, můžete také zvážit instalaci vyhrazených nástrojů pro odstranění malwaru nebo antivirového softwaru, abyste zůstali v bezpečí před jinými viry.