Cos'è l'exploit MSDT di "Follina".

Aggiornare: 0patch.com il team ha sviluppato una serie di micropatch per correggere l'exploit MSDT "Follina" e patch per altri problemi di stabilità e sicurezza di Windows. Per favore, leggi di più in Questo articolo o sul Sito ufficiale.

Di recente, gli hacker hanno scoperto una nuova vulnerabilità di Windows per facilitare la penetrazione dei sistemi con malware. L'exploit è intrinsecamente correlato a MSDT (Microsoft Support Diagnostic Tool) e consente ai criminali informatici di eseguire varie azioni distribuendo comandi tramite la console di PowerShell. Si chiamava quindi Follina e gli fu assegnato questo codice tracker CVE-2022-30190. Secondo alcuni rinomati esperti che hanno studiato questo problema, l'exploit finisce con successo una volta che gli utenti aprono file Word dannosi. Gli attori delle minacce utilizzano la funzione di modello remoto di Word per richiedere un file HTML da un server Web remoto. In seguito, gli aggressori ottengono l'accesso all'esecuzione dei comandi di PowerShell per installare malware, manipolare i dati archiviati nel sistema ed eseguire altre azioni dannose. L'exploit è anche immune a qualsiasi protezione antivirus, ignorando tutti i protocolli di sicurezza e consentendo alle infezioni di intrufolarsi inosservate.

sfruttamento follina msdt

Scaricare strumento di riparazione di Windows

Scaricare strumento di riparazione di Windows

compatibile con microsoft

Esistono speciali utility di riparazione per Windows, che possono risolvere problemi relativi a exploit di sicurezza, sicurezza del sistema, danneggiamento del registro, malfunzionamento del file system, instabilità dei driver di Windows. Ti consigliamo di utilizzare Advanced System Repair Pro per correggere l'exploit MSDT "Follina" in Windows 11, Windows 10 o Windows 7.

Microsoft lavora sulla soluzione di exploit e promette di implementare un aggiornamento della correzione il prima possibile. Ti consigliamo quindi di controllare costantemente il tuo sistema per nuovi aggiornamenti ed eventualmente installarli. Prima di ciò, possiamo guidarti attraverso il metodo di risoluzione ufficiale suggerito da Microsoft. Il metodo consiste nel disabilitare il protocollo URL MSDT, che impedirà lo sfruttamento di ulteriori rischi fino alla visualizzazione di un aggiornamento. Come nota a margine, puoi anche esplorare l'elenco di quali versioni di Windows sono già state sfruttate finora:

Windows 11 per sistemi basati su ARM64
Windows 11 per sistemi basati su x64
Windows 10 versione 1607 per sistemi a 32 bit
Windows 10 Versione 1607 per sistemi basati su x64
Windows 10 versione 1809 per sistemi a 32 bit
Windows 10 versione 1809 per sistemi basati su ARM64
Windows 10 Versione 1809 per sistemi basati su x64
Windows 10 versione 20H2 per sistemi a 32 bit
Windows 10 versione 20H2 per sistemi basati su ARM64
Windows 10 versione 20H2 per sistemi basati su x64
Windows 10 versione 21H1 per sistemi a 32 bit
Windows 10 versione 21H1 per sistemi basati su ARM64
Windows 10 versione 21H1 per sistemi basati su x64
Windows 10 versione 21H2 per sistemi a 32 bit
Windows 10 versione 21H2 per sistemi basati su ARM64
Windows 10 versione 21H2 per sistemi basati su x64
Windows 10 per sistemi a 32 bit
Windows 10 per sistemi basati su x64
Windows 8.1 per sistemi a 32 bit
Windows 8.1 per sistemi basati su x64
WindowsRT 8.1
Windows 7 per sistemi a 32 bit Service Pack 1
Windows 7 per sistemi basati su x64 Service Pack 1
Di Windows Server 2022
Windows Server 2022 (installazione Server Core)
Hotpatch principale di Windows Server 2022 Azure Edition
Windows Server, versione 20H2 (Installazione Server Core)
Di Windows Server 2019
Windows Server 2019 (installazione Server Core)
Di Windows Server 2016
Windows Server 2016 (installazione Server Core)
Di Windows Server 2012
Windows Server 2012 (installazione Server Core)
Di Windows Server 2012 R2
Windows Server 2012 R2 (installazione Server Core)
Windows Server 2008 R2 per 64 per sistemi basati su x1
Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
Windows Server 2008 per sistemi a 32 bit Service Pack 2
Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
Windows Server 2008 per sistemi basati su x64 Service Pack 2
Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core)
Mostra di più
Mostra meno

Disabilita il protocollo URL MSDT per correggere l'exploit

Le funzionalità interne di Windows consentono l'utilizzo del prompt dei comandi per disabilitare il funzionamento del protocollo URL MSDT. Di seguito, dovremo eseguire una serie di comandi copia-incolla. Sarà anche importante creare un retro del registro di Windows per ripristinare l'operazione MSDT, se necessario in futuro. I passaggi scritti di seguito sono quasi gli stessi in tutti i sistemi Windows, quindi non dovrebbero esserci problemi.

  1. Fare clic su ciclo di ricerca accanto al Menu iniziale pulsante e digitare cmd nella barra di ricerca.
  2. Fai clic destro su di esso e scegli Eseguire come amministratore. D'accordo con l'azione per procedere.
  3. Una volta che sei nella console del prompt dei comandi, copia e incolla questo comando per creare un file di backup. Prima di eseguire il comando, sostituire file_path con la posizione in cui desideri salvare il backup.

    4. reg export HKEY_CLASSES_ROOT\ms-msdt file-path

  4. Rassegna Stampa entrare e attendi qualche istante fino a quando il backup non viene creato correttamente.
  5. Dopo questo, sei pronto per disabilitare il protocollo stesso. Copia e incolla questo comando e premi entrare.

    6. reg delete HKEY_CLASSES_ROOT\ms-msdt /f

  6. Quando vedi un messaggio che dice L'operazione è stata completata con successo, significherà che il protocollo URL MSDT è stato disabilitato e non può più essere sfruttato.

correggere l'exploit di msdt

Come abilitare nuovamente il protocollo URL MSDT

Il ripristino del protocollo URL MSDT già disabilitato è molto semplice. Questo può essere fatto dopo che Microsoft ha implementato un metodo di soluzione che corregge i rischi per la sicurezza. Dovrai semplicemente importare il file di backup che è stato creato prima di disattivare il protocollo.

  1. Apri lo stesso prompt dei comandi usando i passaggi sopra elencati.
  2. Copia e incolla questo comando e sostituisci file_path con la posizione in cui è stato salvato il file di backup.

    3. reg import

  3. Rassegna Stampa entrare e attendi finché non viene visualizzato un messaggio sul completamento con successo.

    4. Sommario

    Sebbene l'exploit in sé possa sembrare intimidatorio, non è difficile risolverlo utilizzando un paio di righe del prompt dei comandi. Ci auguriamo che tu sia riuscito a farlo e ora ti senta più protetto contro futuri tentativi di sfruttare il tuo sistema da parte. L'attivazione di infezioni da malware tramite file basati su macro modificati in modo dannoso come Word è, in generale, un metodo molto popolare abusato dagli aggressori. Vari virus come ransomware e trojan possono anche essere distribuiti attraverso tali file nei messaggi di posta elettronica, che una volta aperti, causano l'installazione irreversibile di malware. È quindi importante stare alla larga dai contenuti indesiderati pubblicizzati su pagine dubbie o lettere e-mail, ad esempio.

Articolo precedenteCome rimuovere il virus del calendario Android
Articolo prossimoCome fermare lo spam e-mail "Purtroppo, ci sono cattive notizie per te".
Arthur Lozovskiy
Arthur Lozovskiy