fbpx
2022-06-13

„Microsoft“ diagnostikos įrankio MSDT apsaugos spraga CVE-2022-30190 (Follina)

Remiantis NKSC pranešimu, „Microsoft“ palaikymo diagnostikos įrankyje MSDT (Microsoft Support Diagnostic Tool) yra identifikuota apsaugos spraga, dėl kurios, pažeistose sistemose gali būti perduodamas žalingas kodas. Šis pažeidžiamumas, pavadintas „Follina“ buvo pažymėtas kaip CVE-2022-30190 ir šiuo metu yra plačiai išnaudojamas.

MSDT servisas renka duomenis iš „Windows“ ir „Windows Server“ sistemų ir siunčia juos „Microsoft“ palaikymo tarnybai. Pažeistoje sistemoje užpuolikas gali įdiegti programas, skaityti, keisti bei pašalinti duomenis arba sukurti naujas paskyras su visomis vartotojo teisėmis.

Nors dauguma iki šiol pastebėti pažeidimų atvejai buvo sukurti naudojant kenkėjiškus „Microsoft Word“ „.doc“ failus, tam gali būti panaudojami ir bet kurie „Office“ produktai, tvarkantys oleObject ryšius.

Norinčios apsiginti organizacijos gali taikyti „Microsoft“ išleistą laikiną sprendimą, kuris išjungia MSDT URL protokolą ir taip neleidžia išnaudoti apsaugos spragos:

  • Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
  • Sukurkite esamo registro kopiją, naudodami komandą „reg export HKEY_CLASSES_ROOT\ms-msdt msdtbackup.reg“;
  • Išjunkite MSDT URL protokolą, įvykdydami komandą „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“;
  • „msdtbackup.reg“ yra pavyzdinis failo pavadinimas su .reg plėtiniu.

Kuomet „Microsoft“ išleis saugumo pataisas, atstatyti pakeitimus galima bus šiuo būdu:

  • Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
  • Atstatykite registrą iš kopijos, įvykdydami komandą „reg import msdtbackup.reg“.

Plačiau apie pažeidimą:

„Follina“ leidžia įvykdyti „Remote Code Execution“ (RCE) aplinkose, pasinaudojant pažeidžiamu „Microsoft“ palaikymo diagnostikos įrankiu (MSDT), kuris yra būdingas visoms palaikomoms „Windows“ operacinėms sistemoms ir serveriams. Sėkmingiausiai tam yra naudojami „Microsoft Office“ dokumentai, įkeliantys HTML failus iš nuotolinės vietos, kurie vykdo kenkėjiškas PowerShell komandas.

Apsaugos specialistų „Fortinet“ tirti kenkėjiški dokumentai gali piktnaudžiauti „Microsoft Word“ nuotolinio šablono funkcija ir ištraukti HTML failą, kuriame yra įterptas „JavaScript“ kodas. Jis naudoja ms-msdt schemą, kad vykdytų „PowerShell“ komandą – „Invoke-Expression”. Komanda nutraukia „Microsoft“ palaikymo diagnostikos įrankio (msdt.exe) procesą ir galiausiai paleidusi failus, esančius .RAR faile, paleidžia kenkėjišką vykdomąjį failą rgb.exe. Tyrėjai pastebėjo, kad šiuos failus galima įjungti, net tuo atveju kai yra išjungtos „Microsoft Word“ makrokomandos. Tai reiškia jog potencialiai juos galima pasiekti ir įjungti naudojant .RTF failą, taip apeinant „protected view“ funkcionalumą.

Visos naujienos
Kitos naujienos
2024 02 12
GoIT veiklos plėtra tarptautinėje arenoje

UAB „GoIT“, teikianti IT priežiūros paslaugas visose Baltijos šalyse,...

Skaityti
2024 01 10
Leafood – kai inovacijos ir tvarumas žengia koja kojon

GoIT bendradarbiavimas su bendrove „Leafood” prasidėjo visai neseniai...

Skaityti
2023 11 22
GoIT eksperto nuomone, vienas patogiausių įrankių verslo augimo valdymui – debesijos paslaugos

Augimas - dažniausiai tokį tikslą įmonė sau kelia norėdama padidinti ...

Skaityti
2023 09 14
Kas naujo IT paslaugų outsourcing’e – komentuoja T. Kirchovas

Remiantis „GoIT“ patirtimi, pastaraisiais metais kibernetinio saugumo...

Skaityti
2023 07 28
GoIT įžvalgos po vizito DELL EMC gamykloje

Duomenų apsauga bei inovacijos technologijų srityje yra bene didžiaus...

Skaityti
2023 07 26
AB „LINAS“ sėkminga patirtis – tvarus požiūris į aplinką ir dešimtmetį trunkanti partnerystė

Vienas seniausių Lietuvos natūralių lininių audinių gamintojų AB „LIN...

Skaityti
2023 04 04
Top 3 GoIT technologinės įžvalgos arba apie ką reikia pagalvoti šiais metais?

Pernai metais Lietuvą ir pasaulį sukrėtė ne vienas kibernetinis nusik...

Skaityti
2023 03 10
Ekspertai pastebi: dirbtinis intelektas ChatGPT tampa grėsmingu įrankiu piktavalių rankose

Praeitais metais sensacingai pristatytas pokalbių robotas ChatGPT išn...

Skaityti
2023 01 24
Ačiū 2022-iesiems, sveiki – 2023-ieji!

Prieš ambicingai planuodami naujų metų tikslus tradiciškai „GoIT“ kom...

Skaityti
GoIT

GOIT puslapyje yra naudojami keturi pagrindiniai slapukų tipai.

about cookies