Was ist „Follina“ MSDT-Exploit
Update: 0patch.com Das Team hat eine Reihe von Mikropatches entwickelt, um den „Follina“-MSDT-Exploit und Patches für andere Stabilitäts- und Sicherheitsprobleme von Windows zu beheben. Bitte lesen Sie mehr in Dieser Artikel oder auf der offiziellen Website.
Erst kürzlich haben Hacker eine neue Windows-Schwachstelle gefunden, um das Eindringen von Malware in Systeme zu unterstützen. Der Exploit ist von Natur aus mit MSDT (Microsoft Support Diagnostic Tool) verwandt und ermöglicht es Cyberkriminellen, verschiedene Aktionen auszuführen, indem sie Befehle über die PowerShell-Konsole bereitstellen. Es hieß daher Follina und erhielt diesen Tracker-Code CVE-2022-30190. Laut einigen seriösen Experten, die dieses Problem untersucht haben, endet der Exploit erfolgreich, sobald Benutzer bösartige Word-Dateien öffnen. Bedrohungsakteure verwenden die Remote-Vorlagenfunktion von Word, um eine HTML-Datei von einem Remote-Webserver anzufordern. Anschließend erhalten Angreifer Zugriff auf die Ausführung von PowerShell-Befehlen, um Malware zu installieren, im System gespeicherte Daten zu manipulieren und andere böswillige Aktionen auszuführen. Der Exploit ist auch immun gegen jeden Virenschutz, ignoriert alle Sicherheitsprotokolle und lässt Infektionen unentdeckt einschleichen.
Laden Sie das Windows-Reparatur-Tool herunter
Es gibt spezielle Reparaturprogramme für Windows, die Probleme im Zusammenhang mit Sicherheitslücken, Systemsicherheit, beschädigter Registrierung, Fehlfunktionen des Dateisystems und Instabilität von Windows-Treibern lösen können. Wir empfehlen Ihnen, Advanced System Repair Pro zu verwenden, um den MSDT-Exploit „Follina“ in Windows 11, Windows 10 oder Windows 7 zu beheben.
Microsoft arbeitet an der Exploit-Lösung und verspricht, so schnell wie möglich ein Fix-Update auszurollen. Wir empfehlen Ihnen daher, Ihr System ständig auf neue Updates zu überprüfen und diese gegebenenfalls zu installieren. Zuvor können wir Sie durch die von Microsoft vorgeschlagene offizielle Lösungsmethode führen. Die Methode besteht darin, das MSDT-URL-Protokoll zu deaktivieren, wodurch verhindert wird, dass weitere Risiken ausgenutzt werden, bis ein Update erscheint. Als Randnotiz können Sie auch die Liste der Windows-Versionen durchsuchen, die bisher bereits ausgenutzt wurden:
Deaktivieren Sie das MSDT-URL-Protokoll, um den Exploit zu beheben
Interne Windows-Funktionen ermöglichen die Verwendung der Eingabeaufforderung, um den Betrieb des MSDT-URL-Protokolls zu deaktivieren. Im Folgenden müssen wir eine Reihe von Befehlen zum Kopieren und Einfügen ausführen. Es ist auch wichtig, eine Sicherung der Windows-Registrierung zu erstellen, um den MSDT-Betrieb bei Bedarf in der Zukunft wiederherzustellen. Die unten beschriebenen Schritte sind in allen Windows-Systemen fast gleich, daher sollte es kein Problem damit geben.
- Klicken Sie auf Suchschleife neben dem Start Menu Taste und Typ
cmd
in die Suchleiste. - Klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen. Stimmen Sie der Aktion zu, um fortzufahren.
- Wenn Sie sich in der Eingabeaufforderungskonsole befinden, kopieren Sie diesen Befehl und fügen Sie ihn ein, um eine Sicherungsdatei zu erstellen. Bevor Sie den Befehl ausführen, ersetzen Sie
file_path
mit dem Ort, an dem Sie Ihr Backup speichern möchten. - Öffentlichkeitsarbeit/Presse Enter und warten Sie einen Moment, bis das Backup erfolgreich erstellt wurde.
- Danach können Sie das Protokoll selbst deaktivieren. Kopieren Sie diesen Befehl, fügen Sie ihn ein und drücken Sie Enter.
- Sobald Sie eine Nachricht sehen, die sagt Die Operation wurde erfolgreich abgeschlossen, bedeutet dies, dass das MSDT-URL-Protokoll deaktiviert wurde und nicht mehr ausgenutzt werden kann.
reg export HKEY_CLASSES_ROOT\ms-msdt file-path
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
So aktivieren Sie das MSDT-URL-Protokoll erneut
Das Wiederherstellen des bereits deaktivierten MSDT-URL-Protokolls ist sehr einfach. Dies kann erfolgen, nachdem Microsoft eine Lösungsmethode eingeführt hat, die Sicherheitsrisiken behebt. Sie müssen lediglich die Sicherungsdatei importieren, die vor dem Abschalten des Protokolls erstellt wurde.
- Öffnen Sie dieselbe Eingabeaufforderung mit den oben aufgeführten Schritten.
- Kopieren Sie diesen Befehl, fügen Sie ihn ein und ersetzen Sie ihn
file_path
mit dem Speicherort, an dem Ihre Sicherungsdatei gespeichert wurde. - Öffentlichkeitsarbeit/Presse Enter und warten Sie, bis eine Meldung über den erfolgreichen Abschluss erscheint.
reg import
Zusammenfassung
Obwohl der Exploit selbst einschüchternd klingen mag, ist er mit ein paar Eingabeaufforderungszeilen nicht schwer zu lösen. Wir hoffen, dass Ihnen dies gelungen ist und Sie sich nun besser vor zukünftigen Versuchen geschützt fühlen, Ihr System von außen auszunutzen. Das Auslösen von Malware-Infektionen durch böswillig modifizierte makrobasierte Dateien wie Word ist im Allgemeinen eine sehr beliebte Methode, die von Angreifern missbraucht wird. Verschiedene Viren wie Ransomware und Trojaner können auch über solche Dateien in E-Mail-Nachrichten verbreitet werden, die nach dem Öffnen eine irreversible Installation von Malware verursachen. Daher ist es wichtig, die Finger von unerwünschten Inhalten zu lassen, die beispielsweise auf dubiosen Seiten oder E-Mail-Briefen beworben werden.