Для уязвимости Follina доступен неофициальный патч

На платформе 0patch стал доступен бесплатный неофициальный патч для нашумевшей уязвимости CVE-2022-30190 в утилите диагностики Microsoft Windows Support Diagnostic Tool (MSDT), известной как Follina.

Уязвимость позволяет удаленно выполнить код и затрагивает все поддерживаемые версии Windows. Атаки с ее эксплуатацией начались немногим более месяца, напоминает Securitylab.

С помощью уязвимости хакер может выполнять произвольный код на атакуемой системе с привилегиями вызывающего приложения и устанавливать программы, просматривать, модифицировать или удалять данные и создавать новые учетные записи на Windows-системах.

Хотя Microsoft не выпустила обновления безопасности для исправления уязвимости, она представила меры безопасности, которые помогут обезопаситься от возможных кибератак. В частности, рекомендуется заблокировать протокол URL, используемый злоумышленниками для выполнения кода на уязвимых системах. Кроме того, стоит отключить предпросмотр в Проводнике Windows, чтобы удалить дополнительный вектор атак.

Теперь обезопасить свои системы также можно с помощью бесплатного патча, доступного на платформе 0patch для следующих версий Windows:

• Windows 11 v21H2;
• Windows 10 (от v1803 до v21H2);
• Windows 7;
• Windows Server 2008 R2.

Вместо отключения обработчика протокола MSDT URL, как рекомендует Microsoft, 0patch добавляет проверку указываемого пользователем пути, которая в скрипте Windows в настоящее время отсутствует. Это не позволит сделать мастер диагностики Windows неработоспособным в ОС для всех приложений.

Как отметил соучредитель 0patch Митя Колшек (Mitja Kolsek), версия Office не имеет значения, поскольку уязвимость может эксплуатироваться через несколько векторов атак. Именно поэтому был выпущен патч и для Windows 7, где обработчик ms-msdt вообще не зарегистрирован.

Для развертывания микропатча на Windows-системе нужно иметь зарегистрированную учетную запись на платформе 0patch и установить агент 0patch. После запуска агент автоматически загружает и применяет патч, если локальные политики безопасности это не запрещают.