fbpx
2022-06-13

„Microsoft“ diagnostikos įrankio MSDT apsaugos spraga CVE-2022-30190 (Follina)

Remiantis NKSC pranešimu, „Microsoft“ palaikymo diagnostikos įrankyje MSDT (Microsoft Support Diagnostic Tool) yra identifikuota apsaugos spraga, dėl kurios, pažeistose sistemose gali būti perduodamas žalingas kodas. Šis pažeidžiamumas, pavadintas „Follina“ buvo pažymėtas kaip CVE-2022-30190 ir šiuo metu yra plačiai išnaudojamas.

MSDT servisas renka duomenis iš „Windows“ ir „Windows Server“ sistemų ir siunčia juos „Microsoft“ palaikymo tarnybai. Pažeistoje sistemoje užpuolikas gali įdiegti programas, skaityti, keisti bei pašalinti duomenis arba sukurti naujas paskyras su visomis vartotojo teisėmis.

Nors dauguma iki šiol pastebėti pažeidimų atvejai buvo sukurti naudojant kenkėjiškus „Microsoft Word“ „.doc“ failus, tam gali būti panaudojami ir bet kurie „Office“ produktai, tvarkantys oleObject ryšius.

Norinčios apsiginti organizacijos gali taikyti „Microsoft“ išleistą laikiną sprendimą, kuris išjungia MSDT URL protokolą ir taip neleidžia išnaudoti apsaugos spragos:

  • Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
  • Sukurkite esamo registro kopiją, naudodami komandą „reg export HKEY_CLASSES_ROOT\ms-msdt msdtbackup.reg“;
  • Išjunkite MSDT URL protokolą, įvykdydami komandą „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“;
  • „msdtbackup.reg“ yra pavyzdinis failo pavadinimas su .reg plėtiniu.

Kuomet „Microsoft“ išleis saugumo pataisas, atstatyti pakeitimus galima bus šiuo būdu:

  • Administratoriaus teisėmis atsidarykite komandinę eilutę (Command Prompt);
  • Atstatykite registrą iš kopijos, įvykdydami komandą „reg import msdtbackup.reg“.

Plačiau apie pažeidimą:

„Follina“ leidžia įvykdyti „Remote Code Execution“ (RCE) aplinkose, pasinaudojant pažeidžiamu „Microsoft“ palaikymo diagnostikos įrankiu (MSDT), kuris yra būdingas visoms palaikomoms „Windows“ operacinėms sistemoms ir serveriams. Sėkmingiausiai tam yra naudojami „Microsoft Office“ dokumentai, įkeliantys HTML failus iš nuotolinės vietos, kurie vykdo kenkėjiškas PowerShell komandas.

Apsaugos specialistų „Fortinet“ tirti kenkėjiški dokumentai gali piktnaudžiauti „Microsoft Word“ nuotolinio šablono funkcija ir ištraukti HTML failą, kuriame yra įterptas „JavaScript“ kodas. Jis naudoja ms-msdt schemą, kad vykdytų „PowerShell“ komandą – „Invoke-Expression”. Komanda nutraukia „Microsoft“ palaikymo diagnostikos įrankio (msdt.exe) procesą ir galiausiai paleidusi failus, esančius .RAR faile, paleidžia kenkėjišką vykdomąjį failą rgb.exe. Tyrėjai pastebėjo, kad šiuos failus galima įjungti, net tuo atveju kai yra išjungtos „Microsoft Word“ makrokomandos. Tai reiškia jog potencialiai juos galima pasiekti ir įjungti naudojant .RTF failą, taip apeinant „protected view“ funkcionalumą.

Daugiau informacijos apie galimus apsaugos nuo pažeidimų sprendimų būdus ieškokite IT ūkio priežiūra ir serverių priežiūra.

Visos naujienos
Kitos naujienos
Microsoft Sprendimai IT Paslaugų Sektoriuje: Pažanga Skaitmeninėje Transformacijoje
2024 07 16
Microsoft Sprendimai IT Paslaugų Sektoriuje: Pažanga Skaitmeninėje Transformacijoje

Šiandieniniame sparčiai besivystančiame technologijų pasaulyje IT pas...

Skaityti
Dell Technologies: Technologijos lyderis nuo asmeninių kompiuterių iki debesijos sprendimų
2024 07 16
Dell Technologies: Technologijos lyderis nuo asmeninių kompiuterių iki debesijos sprendimų

„Dell Technologies“ yra viena didžiausių pasaulyje technologijų kompa...

Skaityti
IT paslaugų tipai: Kokie jie ir kokią naudą gali atnešti?
2024 07 16
IT paslaugų tipai: Kokie jie ir kokią naudą gali atnešti?

Šiuolaikiniame versle technologijos užima ypatingai didelį vaidmenį, ...

Skaityti
mobilieji virusai ir ju plitimo strategijos
2024 06 04
Kovos laukas jūsų kišenėje: Mobilieji virusai ir jų plitimo strategijos

Šių dienų aktualijos rodo, jog daug daugiau vartotojų mieliau naudoja...

Skaityti
pasaulines problemos su kuriomis susidure IT prieziuros specialistai
2024 05 31
Pasaulinės problemos su kuriomis susidūrė IT priežiūros specialistai

Šiandien mums ypatingai svarbios kompiuterinės technologijos. Vis dau...

Skaityti
2024 05 14
TIS2 D.U.K. su saugumo sprendimų ekspertu

Liko pusė metų iki TIS2 direktyvos įsigaliojimo Lietuvoje, o tai reiš...

Skaityti
serveriu prieziura ir jos nauda verslui
2024 05 13
Serverių priežiūra ir jos nauda verslui

Šiandienos verslo aplinkoje serveriai yra gyvybiškai svarbus komponen...

Skaityti
it savoku zodynelis
2024 04 28
IT sąvokų žodynėlis

Dažnai susiduriame su žmonėmis, kuriems įvairūs IT terminai ar sąvoko...

Skaityti
kaip isvalyti kompiuteri
2024 04 23
Kaip išvalyti kompiuterį?

Tam, kad kiekviena įranga, tame tarpe ir kompiuteris, gerai veiktų – ...

Skaityti
GoIT

GOIT puslapyje yra naudojami keturi pagrindiniai slapukų tipai.

about cookies