Sådan rettes Microsoft “Follina” MSDT Windows Zero-Day sårbarhed

Af
Tweet
Share
Share
Pin

Microsoft har erkendt en kritisk nul-dages sårbarhed i Windows, der påvirker alle større versioner, inklusive Windows 11, Windows 10, Windows 8.1 og endda Windows 7. Sårbarheden, identificeret med trackeren CVE-2022-30190 eller Follina, lader angribere køre eksternt malware på Windows uden at udløse Windows Defender eller anden sikkerhedssoftware. Heldigvis har Microsoft delt en officiel løsning for at mindske risikoen. I denne artikel har vi beskrevet trinene til at beskytte dine Windows 11/10-pc’er mod den seneste nul-dages sårbarhed.

Ret “Follina” MSDT Windows Zero-Day sårbarhed (juni 2022)

Hvad er Follina MSDT Windows Zero-Day (CVE-2022-30190) sårbarhed?

Før vi kommer til trinene til at rette sårbarheden, lad os forstå, hvad udnyttelsen handler om. Kendt med CVE-2022-30190 sporingskoden, er nul-dages udnyttelse knyttet til Microsoft Support Diagnostic Tool (MSDT). Med denne udnyttelse kan angribere eksternt køre PowerShell-kommandoer gennem MSDT, når de åbner ondsindede Office-dokumenter.

“Der eksisterer en sårbarhed ved fjernudførelse af kode, når MSDT kaldes ved hjælp af URL-protokollen fra et kaldende program som f.eks. Word. En angriber, der med succes udnytter denne sårbarhed, kan køre vilkårlig kode med rettighederne for det kaldende program. Angriberen kan derefter installere programmer, se, ændre eller slette data eller oprette nye konti i den kontekst, der tillades af brugerens rettigheder,” forklarer Microsoft.

  Sådan aktiveres rumlig lyd i Windows 10 til hovedtelefoner og hjemmebiograf

Som forsker Kevin Beaumont forklarer, bruger angrebet Words fjernskabelonfunktion til at hente en HTML-fil fra en ekstern webserver. Den bruger derefter ms-msdt MSProtocol URI-skemaet til at indlæse koden og udføre PowerShell-kommandoer. Som en sidebemærkning fik udnyttelsen navnet “Follina”, fordi prøvefilen refererer til 0438, områdekoden for Follina, Italien.

På dette tidspunkt undrer du dig måske over, hvorfor Microsofts beskyttede visning ikke forhindrer dokumentet i at åbne linket. Nå, det er fordi udførelsen kan ske endda uden for Protected Views omfang. Som forsker John Hammond fremhævede på Twitter, kunne linket blive udført direkte fra Explorers forhåndsvisningsrude som en Rich Text Format-fil (.rtf).

Ifølge ArsTechnicas rapport havde forskere hos Shadow Chaser Group gjort Microsoft opmærksom på sårbarheden allerede den 12. april. Selvom Microsoft svarede en uge senere, ser virksomheden ud til at have afvist det, da de ikke kunne kopiere det samme på deres side. Ikke desto mindre er sårbarheden nu markeret som zero-day, og Microsoft anbefaler at deaktivere MSDT URL-protokollen som en løsning for at beskytte din pc mod udnyttelsen.

Er min Windows-pc sårbar over for Follina-udnyttelsen?

På sin side med sikkerhedsopdateringsvejledninger har Microsoft angivet 41 versioner af Windows, der er sårbare over for Follina CVE-2022-30190 sårbarhed. Det inkluderer Windows 7, Windows 8.1, Windows 10, Windows 11 og endda Windows Server-udgaver. Se den komplette liste over berørte versioner nedenfor:

  • Windows 10 version 1607 til 32-bit systemer
  • Windows 10 version 1607 til x64-baserede systemer
  • Windows 10 version 1809 til 32-bit systemer
  • Windows 10 version 1809 til ARM64-baserede systemer
  • Windows 10 version 1809 til x64-baserede systemer
  • Windows 10 version 20H2 til 32-bit systemer
  • Windows 10 version 20H2 til ARM64-baserede systemer
  • Windows 10 version 20H2 til x64-baserede systemer
  • Windows 10 version 21H1 til 32-bit systemer
  • Windows 10 version 21H1 til ARM64-baserede systemer
  • Windows 10 version 21H1 til x64-baserede systemer
  • Windows 10 version 21H2 til 32-bit systemer
  • Windows 10 Version 21H2 til ARM64-baserede systemer
  • Windows 10 version 21H2 til x64-baserede systemer
  • Windows 10 til 32-bit systemer
  • Windows 10 til x64-baserede systemer
  • Windows 11 til ARM64-baserede systemer
  • Windows 11 til x64-baserede systemer
  • Windows 7 til 32-bit Systems Service Pack 1
  • Windows 7 til x64-baserede systemer Service Pack 1
  • Windows 8.1 til 32-bit systemer
  • Windows 8.1 til x64-baserede systemer
  • Windows RT 8.1
  • Windows Server 2008 R2 til x64-baserede systemer Service Pack 1
  • Windows Server 2008 R2 til x64-baserede systemer Service Pack 1 (Server Core installation)
  • Windows Server 2008 til 32-bit Systems Service Pack 2
  • Windows Server 2008 til 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 til x64-baserede systemer Service Pack 2
  • Windows Server 2008 til x64-baserede systemer Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server, version 20H2 (Server Core Installation)
  Hvor dårligt spilleudstyr kan holde dig tilbage (Sådan får du Windows 10 Pro)

Deaktiver MSDT URL-protokol for at beskytte Windows mod Follina-sårbarhed

1. Tryk på Win-tasten på dit tastatur, og skriv “Cmd” eller “Kommandoprompt”. Når resultatet vises, skal du vælge “Kør som administrator” for at åbne et forhøjet kommandopromptvindue.

2. Før du ændrer registreringsdatabasen, skal du bruge kommandoen nedenfor til at tage en sikkerhedskopi. På denne måde kan du vælge at gendanne protokollen, når Microsoft udruller en officiel patch. Her refererer filstien til det sted, hvor du vil gemme .reg backup-filen.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. Du kan nu køre følgende kommando for at deaktivere MSDT URL-protokollen. Hvis det lykkes, vil du se teksten “Handlingen er gennemført med succes” i kommandopromptvinduet. 

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. For at gendanne protokollen senere, skal du bruge den sikkerhedskopi af registreringsdatabasen, du lavede i andet trin. Kør kommandoen nedenfor, og du vil have adgang til MSDT URL-protokollen igen.

reg import <file_path.reg>

Beskyt din Windows-pc mod MSDT Windows Zero-Day-sårbarhed

Så det er de trin, du skal følge for at deaktivere MSDT URL-protokollen på din Windows-pc for at forhindre Follina-udnyttelsen. Indtil Microsoft udruller en officiel sikkerhedsrettelse til alle versioner af Windows, kan du bruge denne praktiske løsning til at forblive beskyttet mod CVE-2022-30190 Windows Follina MSDT nul-dages sårbarhed. Når vi taler om at beskytte din pc mod ondsindede programmer, kan du også overveje at installere dedikerede værktøjer til fjernelse af malware eller antivirussoftware for at være sikker mod andre vira.

  Windows 10 giver dig mulighed for at indlæse en brugerdefineret Linux-kerne