Cos'è l'exploit MSDT di "Follina".
Aggiornare: 0patch.com il team ha sviluppato una serie di micropatch per correggere l'exploit MSDT "Follina" e patch per altri problemi di stabilità e sicurezza di Windows. Per favore, leggi di più in Questo articolo o sul Sito ufficiale.
Di recente, gli hacker hanno scoperto una nuova vulnerabilità di Windows per facilitare la penetrazione dei sistemi con malware. L'exploit è intrinsecamente correlato a MSDT (Microsoft Support Diagnostic Tool) e consente ai criminali informatici di eseguire varie azioni distribuendo comandi tramite la console di PowerShell. Si chiamava quindi Follina e gli fu assegnato questo codice tracker CVE-2022-30190. Secondo alcuni rinomati esperti che hanno studiato questo problema, l'exploit finisce con successo una volta che gli utenti aprono file Word dannosi. Gli attori delle minacce utilizzano la funzione di modello remoto di Word per richiedere un file HTML da un server Web remoto. In seguito, gli aggressori ottengono l'accesso all'esecuzione dei comandi di PowerShell per installare malware, manipolare i dati archiviati nel sistema ed eseguire altre azioni dannose. L'exploit è anche immune a qualsiasi protezione antivirus, ignorando tutti i protocolli di sicurezza e consentendo alle infezioni di intrufolarsi inosservate.
Scaricare strumento di riparazione di Windows
Esistono speciali utility di riparazione per Windows, che possono risolvere problemi relativi a exploit di sicurezza, sicurezza del sistema, danneggiamento del registro, malfunzionamento del file system, instabilità dei driver di Windows. Ti consigliamo di utilizzare Advanced System Repair Pro per correggere l'exploit MSDT "Follina" in Windows 11, Windows 10 o Windows 7.
Microsoft lavora sulla soluzione di exploit e promette di implementare un aggiornamento della correzione il prima possibile. Ti consigliamo quindi di controllare costantemente il tuo sistema per nuovi aggiornamenti ed eventualmente installarli. Prima di ciò, possiamo guidarti attraverso il metodo di risoluzione ufficiale suggerito da Microsoft. Il metodo consiste nel disabilitare il protocollo URL MSDT, che impedirà lo sfruttamento di ulteriori rischi fino alla visualizzazione di un aggiornamento. Come nota a margine, puoi anche esplorare l'elenco di quali versioni di Windows sono già state sfruttate finora:
Disabilita il protocollo URL MSDT per correggere l'exploit
Le funzionalità interne di Windows consentono l'utilizzo del prompt dei comandi per disabilitare il funzionamento del protocollo URL MSDT. Di seguito, dovremo eseguire una serie di comandi copia-incolla. Sarà anche importante creare un retro del registro di Windows per ripristinare l'operazione MSDT, se necessario in futuro. I passaggi scritti di seguito sono quasi gli stessi in tutti i sistemi Windows, quindi non dovrebbero esserci problemi.
- Fare clic su ciclo di ricerca accanto al Menu iniziale pulsante e digitare
cmd
nella barra di ricerca. - Fai clic destro su di esso e scegli Eseguire come amministratore. D'accordo con l'azione per procedere.
- Una volta che sei nella console del prompt dei comandi, copia e incolla questo comando per creare un file di backup. Prima di eseguire il comando, sostituire
file_path
con la posizione in cui desideri salvare il backup. - Rassegna Stampa entrare e attendi qualche istante fino a quando il backup non viene creato correttamente.
- Dopo questo, sei pronto per disabilitare il protocollo stesso. Copia e incolla questo comando e premi entrare.
- Quando vedi un messaggio che dice L'operazione è stata completata con successo, significherà che il protocollo URL MSDT è stato disabilitato e non può più essere sfruttato.
reg export HKEY_CLASSES_ROOT\ms-msdt file-path
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Come abilitare nuovamente il protocollo URL MSDT
Il ripristino del protocollo URL MSDT già disabilitato è molto semplice. Questo può essere fatto dopo che Microsoft ha implementato un metodo di soluzione che corregge i rischi per la sicurezza. Dovrai semplicemente importare il file di backup che è stato creato prima di disattivare il protocollo.
- Apri lo stesso prompt dei comandi usando i passaggi sopra elencati.
- Copia e incolla questo comando e sostituisci
file_path
con la posizione in cui è stato salvato il file di backup. - Rassegna Stampa entrare e attendi finché non viene visualizzato un messaggio sul completamento con successo.
reg import
Sommario
Sebbene l'exploit in sé possa sembrare intimidatorio, non è difficile risolverlo utilizzando un paio di righe del prompt dei comandi. Ci auguriamo che tu sia riuscito a farlo e ora ti senta più protetto contro futuri tentativi di sfruttare il tuo sistema da parte. L'attivazione di infezioni da malware tramite file basati su macro modificati in modo dannoso come Word è, in generale, un metodo molto popolare abusato dagli aggressori. Vari virus come ransomware e trojan possono anche essere distribuiti attraverso tali file nei messaggi di posta elettronica, che una volta aperti, causano l'installazione irreversibile di malware. È quindi importante stare alla larga dai contenuti indesiderati pubblicizzati su pagine dubbie o lettere e-mail, ad esempio.