Корпорація Microsoft ідентифікувала критичну вразливість нульового дня в операційній системі Windows, яка зачіпає всі основні її версії, включаючи Windows 11, Windows 10, Windows 8.1 та навіть Windows 7. Ця вразливість, відома за ідентифікатором CVE-2022-30190 або під назвою “Follina”, дозволяє зловмисникам віддалено запускати шкідливе програмне забезпечення на комп’ютерах з Windows, обходячи при цьому захист Windows Defender та інші засоби безпеки. На щастя, Microsoft запропонувала офіційний спосіб мінімізації ризиків. У цій статті ми детально розглянемо кроки, необхідні для захисту ваших комп’ютерів з Windows 11/10 від цієї нової загрози.
Усунення вразливості “Follina” MSDT Windows нульового дня (червень 2022)
Що таке вразливість “Follina” MSDT Windows нульового дня (CVE-2022-30190)?
Перш ніж перейти до інструкцій щодо захисту, давайте розберемося, що собою представляє цей експлойт. Вразливість, ідентифікована кодом CVE-2022-30190, пов’язана з інструментом діагностики підтримки Microsoft (MSDT). Використовуючи цей експлойт, кіберзлочинці можуть дистанційно виконувати команди PowerShell через MSDT, коли відкриваються шкідливі документи Office.
За словами Microsoft, “Вразливість віддаленого виконання коду виникає, коли MSDT викликається за допомогою URL-протоколу з програми, наприклад Word. Зловмисник, який успішно використовує цю вразливість, може запустити довільний код з правами програми, що викликає. Після цього зловмисник може встановлювати програми, переглядати, змінювати або видаляти дані, або створювати нові облікові записи в межах дозволів користувача”.
Дослідник Кевін Бомонт пояснює, що атака використовує функцію віддаленого шаблону Word для завантаження HTML-файлу з віддаленого веб-сервера. Потім вона використовує схему URI MSProtocol ms-msdt для завантаження коду та виконання команд PowerShell. Цей експлойт отримав назву “Follina”, оскільки один із зразків файлів посилався на код 0438, який є телефонним кодом міста Фолліна в Італії.
Можливо, ви задаєтесь питанням, чому захищений перегляд Microsoft не запобігає відкриттю посилань у документі. Річ у тім, що виконання шкідливого коду може відбуватися за межами режиму захищеного перегляду. Як відзначив дослідник Джон Хаммонд у Twitter, посилання може бути активоване безпосередньо з панелі попереднього перегляду Провідника Windows як файл формату RTF (Rich Text Format).
Згідно з ArsTechnica, дослідники з Shadow Chaser Group повідомили Microsoft про вразливість ще 12 квітня. Хоча Microsoft відреагувала через тиждень, компанія, схоже, відхилила звіт, оскільки не змогла відтворити проблему зі свого боку. Проте, тепер вразливість вважається нульовим днем, і Microsoft рекомендує тимчасово відключити протокол URL MSDT для захисту комп’ютерів від експлойту.
Чи вразливий мій комп’ютер з Windows до експлойту “Follina”?
На сторінці посібника з оновлення системи безпеки Microsoft перелічила 41 версію Windows, які є вразливими до “Follina” CVE-2022-30190. Сюди входять Windows 7, Windows 8.1, Windows 10, Windows 11 та навіть Windows Server. Нижче представлено повний список уражених версій:
- Windows 10 версії 1607 для 32-розрядних систем
- Windows 10 версії 1607 для систем на базі x64
- Windows 10 версії 1809 для 32-розрядних систем
- Windows 10 версії 1809 для систем на базі ARM64
- Windows 10 версії 1809 для систем на базі x64
- Windows 10 версії 20H2 для 32-розрядних систем
- Windows 10 версії 20H2 для систем на базі ARM64
- Windows 10 версії 20H2 для систем на базі x64
- Windows 10 версії 21H1 для 32-розрядних систем
- Windows 10 версії 21H1 для систем на базі ARM64
- Windows 10 версії 21H1 для систем на базі x64
- Windows 10 версії 21H2 для 32-розрядних систем
- Windows 10 версії 21H2 для систем на базі ARM64
- Windows 10 версії 21H2 для систем на базі x64
- Windows 10 для 32-розрядних систем
- Windows 10 для систем на базі x64
- Windows 11 для систем на базі ARM64
- Windows 11 для систем на базі x64
- Windows 7 для 32-розрядних систем з пакетом оновлень 1
- Windows 7 для систем на базі x64 з пакетом оновлень 1
- Windows 8.1 для 32-розрядних систем
- Windows 8.1 для систем на базі x64
- Windows RT 8.1
- Windows Server 2008 R2 для систем на базі x64 з пакетом оновлень 1
- Windows Server 2008 R2 для систем на базі x64 з пакетом оновлень 1 (встановлення ядра сервера)
- Windows Server 2008 для 32-розрядних систем з пакетом оновлень 2
- Windows Server 2008 для 32-розрядних систем з пакетом оновлень 2 (встановлення ядра сервера)
- Windows Server 2008 для систем на базі x64 з пакетом оновлень 2
- Windows Server 2008 для систем на базі x64 з пакетом оновлень 2 (встановлення ядра сервера)
- Windows Server 2012
- Windows Server 2012 (встановлення ядра сервера)
- Windows Server 2012 R2
- Windows Server 2012 R2 (встановлення ядра сервера)
- Windows Server 2016
- Windows Server 2016 (встановлення ядра сервера)
- Windows Server 2019
- Windows Server 2019 (інсталяція ядра сервера)
- Windows Server 2022
- Windows Server 2022 (встановлення ядра сервера)
- Виправлення ядра Windows Server 2022 Azure Edition
- Windows Server, версія 20H2 (встановлення ядра сервера)
Вимкнення протоколу URL MSDT для захисту Windows від вразливості “Follina”
1. Натисніть клавішу Win на клавіатурі та введіть “Cmd” або “Командний рядок”. У результатах виберіть “Запуск від імені адміністратора”, щоб відкрити вікно командного рядка з адміністраторськими правами.
2. Перед тим як вносити зміни до реєстру, скористайтеся наведеною нижче командою для створення резервної копії. Це дозволить вам відновити протокол після випуску офіційного патча від Microsoft. Замініть <file_path.reg> на шлях, де ви хочете зберегти резервну копію.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. Тепер виконайте наступну команду, щоб вимкнути протокол URL MSDT. Якщо операція виконана успішно, ви побачите повідомлення “Операція успішно завершена” у вікні командного рядка.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. Для відновлення протоколу пізніше, скористайтеся резервною копією реєстру, створеною на другому кроці. Виконайте наступну команду, і ви знову отримаєте доступ до протоколу URL MSDT. Замініть <file_path.reg> на шлях до вашої резервної копії.
reg import <file_path.reg>
Захист вашого ПК з Windows від вразливості MSDT Windows Zero-Day
Отже, це кроки, які потрібно виконати для вимкнення протоколу URL MSDT на вашому комп’ютері з Windows для запобігання експлойту “Follina”. Доки Microsoft не випустить офіційне виправлення безпеки для всіх версій Windows, використовуйте цей обхідний шлях для захисту від вразливості нульового дня CVE-2022-30190 Windows Follina MSDT. Для додаткового захисту вашого ПК від шкідливого програмного забезпечення, ви також можете встановити спеціалізовані інструменти для видалення шкідливих програм або антивірусне програмне забезпечення для захисту від інших вірусів.