fbpx
2022-06-13

„Microsoft“ diagnostikos įrankio MSDT apsaugos spraga CVE-2022-30190 (Follina)

Remiantis NKSC pranešimu, „Microsoft“ palaikymo diagnostikos įrankyje MSDT (Microsoft Support Diagnostic Tool) yra identifikuota apsaugos spraga, dėl kurios, pažeistose sistemose gali būti perduodamas žalingas kodas. Šis pažeidžiamumas, pavadintas „Follina“ buvo pažymėtas kaip CVE-2022-30190 ir šiuo metu yra plačiai išnaudojamas.

MSDT servisas renka duomenis iš „Windows“ ir „Windows Server“ sistemų ir siunčia juos „Microsoft“ palaikymo tarnybai. Pažeistoje sistemoje užpuolikas gali įdiegti programas, skaityti, keisti bei pašalinti duomenis arba sukurti naujas paskyras su visomis vartotojo teisėmis.

Nors dauguma iki šiol pastebėti pažeidimų atvejai buvo sukurti naudojant kenkėjiškus „Microsoft Word“ „.doc“ failus, tam gali būti panaudojami ir bet kurie „Office“ produktai, tvarkantys oleObject ryšius.

Norinčios apsiginti organizacijos gali taikyti „Microsoft“ išleistą laikiną sprendimą, kuris išjungia MSDT URL protokolą ir taip neleidžia išnaudoti apsaugos spragos:

  • Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
  • Sukurkite esamo registro kopiją, naudodami komandą „reg export HKEY_CLASSES_ROOT\ms-msdt msdtbackup.reg“;
  • Išjunkite MSDT URL protokolą, įvykdydami komandą „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“;
  • „msdtbackup.reg“ yra pavyzdinis failo pavadinimas su .reg plėtiniu.

Kuomet „Microsoft“ išleis saugumo pataisas, atstatyti pakeitimus galima bus šiuo būdu:

  • Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
  • Atstatykite registrą iš kopijos, įvykdydami komandą „reg import msdtbackup.reg“.

Plačiau apie pažeidimą:

„Follina“ leidžia įvykdyti „Remote Code Execution“ (RCE) aplinkose, pasinaudojant pažeidžiamu „Microsoft“ palaikymo diagnostikos įrankiu (MSDT), kuris yra būdingas visoms palaikomoms „Windows“ operacinėms sistemoms ir serveriams. Sėkmingiausiai tam yra naudojami „Microsoft Office“ dokumentai, įkeliantys HTML failus iš nuotolinės vietos, kurie vykdo kenkėjiškas PowerShell komandas.

Apsaugos specialistų „Fortinet“ tirti kenkėjiški dokumentai gali piktnaudžiauti „Microsoft Word“ nuotolinio šablono funkcija ir ištraukti HTML failą, kuriame yra įterptas „JavaScript“ kodas. Jis naudoja ms-msdt schemą, kad vykdytų „PowerShell“ komandą – „Invoke-Expression”. Komanda nutraukia „Microsoft“ palaikymo diagnostikos įrankio (msdt.exe) procesą ir galiausiai paleidusi failus, esančius .RAR faile, paleidžia kenkėjišką vykdomąjį failą rgb.exe. Tyrėjai pastebėjo, kad šiuos failus galima įjungti, net tuo atveju kai yra išjungtos „Microsoft Word“ makrokomandos. Tai reiškia jog potencialiai juos galima pasiekti ir įjungti naudojant .RTF failą, taip apeinant „protected view“ funkcionalumą.

Visos naujienos
Kitos naujienos
2022 11 18
„GoIT“ užtikrins efektyvesnę klientų IT ūkio priežiūrą su nauju RMM sprendimu

„GoIT“ siekdama pasiūlyti klientams kuo efektyvesnius sprendimus vers...

Skaityti
2022 11 09
Kibernetinio saugumo mokymai verslui – nuo saugių slaptažodžių iki 2FA

Skaičiuojama, kad kiekvieną minutę kibernetiniai nusikaltėliai visame...

Skaityti
2022 10 17
Sėkmingas AB „VIAMATIKA“ IT procesų modernizavimas: greičiau, paprasčiau, efektyviau

Akcinės bendrovės „VIAMATIKA“ veikloje nestinga iššūkių. Bendrovės ...

Skaityti
2022 10 11
Ekspertai pataria: atsarginių kopijų kūrimo strategija – patarimai iš praktinės pusės

Visai neseniai dalinomės sėkmingu atsarginių kopijų (backup) strategi...

Skaityti
2022 09 08
Ekspertai pataria: atsarginių kopijų kūrimo strategija – patarimai sėkmingam „backup‘inimui“

Duomenų praradimas – bene blogiausia patirtis, kurią nors kartą savo ...

Skaityti
2022 08 03
2FA – užtikrintas būdas užbėgti kibernetinėms grėsmėms už akių

Neginčijama, kad šiandieniniame pasaulyje kiekvienos organizacijos ti...

Skaityti
2022 07 08
„BIOK LAB“ IT migracijos užkulisiai: partnerystė, kai laimi visi

2021 m. lapkričio mėnesį, pristigusi vietos plėtrai senosiose patalpo...

Skaityti
2022 07 05
Tvari IT įranga – mada ar ateitis?

Kol vienos įmonės vis dar abejoja dėl investicinės grąžos į tvarumą, ...

Skaityti
2022 05 24
„GoIT“ – „Dell Technologies“ auksinis verslo partneris

UAB „GoIT“ yra autorizuotas auksinis DELL partneris Baltijos rinkoje....

Skaityti
GoIT

GOIT puslapyje yra naudojami keturi pagrindiniai slapukų tipai.

about cookies