Czym jest exploit MSDT „Follina”.

aktualizacja: 0patch.pl zespół opracował serię mikrołat naprawiających exploita MSDT „Follina” oraz łaty dotyczące innych problemów ze stabilnością i bezpieczeństwem systemu Windows. Proszę przeczytać więcej w ten artykuł lub na oficjalna strona internetowa.

Całkiem niedawno hakerzy odkryli nową lukę w zabezpieczeniach systemu Windows, która ułatwia penetrację systemów złośliwym oprogramowaniem. Exploit jest nieodłącznie powiązany z narzędziem MSDT (Microsoft Support Diagnostic Tool) i umożliwia cyberprzestępcom wykonywanie różnych działań poprzez wdrażanie poleceń za pośrednictwem konsoli PowerShell. Dlatego nazwano go Follina i przypisano mu kod śledzenia CVE-2022-30190. Według niektórych renomowanych ekspertów, którzy badali ten problem, exploit kończy się sukcesem, gdy użytkownicy otworzą złośliwe pliki Worda. Osoby atakujące wykorzystują funkcję zdalnego szablonu programu Word, aby zażądać pliku HTML ze zdalnego serwera WWW. Następnie osoby atakujące uzyskują dostęp do uruchamiania poleceń PowerShell w celu instalowania złośliwego oprogramowania, manipulowania danymi przechowywanymi w systemie, a także wykonywania innych złośliwych działań. Exploit jest również odporny na jakąkolwiek ochronę antywirusową, ignoruje wszystkie protokoły bezpieczeństwa i pozwala infekcjom przekraść się niewykrytym.

exploit follina msdt

Pobierz narzędzie do naprawy systemu Windows

Pobierz narzędzie do naprawy systemu Windows

kompatybilny z microsoftem

Istnieją specjalne narzędzia naprawcze dla systemu Windows, które mogą rozwiązać problemy związane z lukami w zabezpieczeniach, bezpieczeństwem systemu, uszkodzeniem rejestru, awarią systemu plików, niestabilnością sterowników Windows. Zalecamy użycie Advanced System Repair Pro do naprawy exploita „Follina” MSDT w Windows 11, Windows 10 lub Windows 7.

Microsoft pracuje nad rozwiązaniem exploita i obiecuje jak najszybciej wprowadzić aktualizację poprawki. Dlatego zalecamy ciągłe sprawdzanie systemu pod kątem nowych aktualizacji i instalowanie ich w końcu. Wcześniej możemy przeprowadzić Cię przez oficjalną metodę rozwiązywania problemów sugerowaną przez firmę Microsoft. Metoda polega na wyłączeniu protokołu MSDT URL, co zapobiegnie wykorzystywaniu dalszych zagrożeń do czasu pojawienia się aktualizacji. Na marginesie, możesz również zapoznać się z listą wersji systemu Windows, które do tej pory były już wykorzystywane:

Windows 11 dla systemów opartych na architekturze ARM64
Windows 11 dla systemów opartych na procesorze x64
Windows 10 wersja 1607 dla systemów 32-bitowych
Windows 10 wersja 1607 dla systemów opartych na procesorze x64
Windows 10 wersja 1809 dla systemów 32-bitowych
Windows 10 wersja 1809 dla systemów opartych na ARM64
Windows 10 wersja 1809 dla systemów opartych na procesorze x64
Windows 10 wersja 20H2 dla systemów 32-bitowych
Windows 10 wersja 20H2 dla systemów opartych na architekturze ARM64
Windows 10 wersja 20H2 dla systemów opartych na architekturze x64
Windows 10 wersja 21H1 dla systemów 32-bitowych
Windows 10 wersja 21H1 dla systemów opartych na architekturze ARM64
Windows 10 wersja 21H1 dla systemów opartych na architekturze x64
Windows 10 wersja 21H2 dla systemów 32-bitowych
Windows 10 wersja 21H2 dla systemów opartych na architekturze ARM64
Windows 10 wersja 21H2 dla systemów opartych na architekturze x64
Windows 10 dla systemów 32-bitowych
Windows 10 dla systemów opartych na procesorze x64
Windows 8.1 dla systemów 32-bitowych
Windows 8.1 dla systemów opartych na x64
Windows RT 8.1
Windows 7 dla systemów 32-bitowych z dodatkiem Service Pack 1
Windows 7 z dodatkiem Service Pack 64 dla systemów opartych na procesorze x1
Windows Server 2022
Windows Server 2022 (instalacja Server Core)
Aktualizacja rdzenia systemu Windows Server 2022 Azure Edition
Windows Server, wersja 20H2 (instalacja Server Core)
Windows Server 2019
Windows Server 2019 (instalacja Server Core)
Windows Server 2016
Windows Server 2016 (instalacja Server Core)
Windows Server 2012
Windows Server 2012 (instalacja Server Core)
Windows Server 2012 R2
Windows Server 2012 R2 (instalacja Server Core)
Windows Server 2008 R2 z dodatkiem Service Pack 64 dla systemów opartych na procesorach x1
Windows Server 2008 R2 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 1 (instalacja Server Core)
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2
Windows Server 2008 dla systemów 32-bitowych z dodatkiem Service Pack 2 (instalacja Server Core)
Windows Server 2008 z dodatkiem Service Pack 64 dla systemów opartych na procesorach x2
Windows Server 2008 dla systemów opartych na procesorach x64 z dodatkiem Service Pack 2 (instalacja Server Core)
Pokaż więcej
Pokaż mniej

Wyłącz protokół URL MSDT, aby naprawić exploit

Wewnętrzne funkcje systemu Windows umożliwiają użycie wiersza polecenia w celu wyłączenia działania protokołu MSDT URL. Poniżej będziemy musieli wykonać szereg poleceń kopiuj-wklej. Ważne będzie również utworzenie kopii zapasowej rejestru systemu Windows w celu przywrócenia działania narzędzia MSDT w razie potrzeby w przyszłości. Kroki opisane poniżej są prawie takie same we wszystkich systemach Windows, więc nie powinno być z tym problemu.

  1. Kliknij na pętla wyszukiwania obok Menu start przycisk i typ cmd do paska wyszukiwania.
  2. Kliknij prawym przyciskiem myszy i wybierz Uruchom jako administrator. Zaakceptuj działanie, aby kontynuować.
  3. Gdy znajdziesz się w konsoli wiersza polecenia, skopiuj i wklej to polecenie, aby utworzyć plik kopii zapasowej. Przed wykonaniem polecenia zastąp file_path z lokalizacją, w której chcesz zapisać kopię zapasową.

    4. reg export HKEY_CLASSES_ROOT\ms-msdt file-path

  4. Naciśnij przycisk Wchodzę i poczekaj kilka chwil, aż kopia zapasowa zostanie pomyślnie utworzona.
  5. Następnie możesz wyłączyć sam protokół. Skopiuj i wklej to polecenie i naciśnij Wchodzę.

    6. reg delete HKEY_CLASSES_ROOT\ms-msdt /f

  6. Po wyświetleniu komunikatu Operacja zakończyła się pomyślnie, będzie to oznaczać, że protokół MSDT URL został wyłączony i nie można go już wykorzystywać.

napraw exploit msdt

Jak ponownie włączyć protokół MSDT URL

Przywracanie już wyłączonego protokołu MSDT URL jest bardzo łatwe. Można to zrobić po wdrożeniu przez firmę Microsoft metody rozwiązania, która usuwa zagrożenia bezpieczeństwa. Będziesz musiał po prostu zaimportować plik kopii zapasowej, który został utworzony przed wyłączeniem protokołu.

  1. Otwórz ten sam wiersz polecenia, wykonując czynności wymienione powyżej.
  2. Skopiuj i wklej to polecenie i zamień file_path z lokalizacją, w której został zapisany plik kopii zapasowej.

    3. reg import

  3. Naciśnij przycisk Wchodzę i poczekaj, aż pojawi się komunikat o pomyślnym zakończeniu.

    4. Podsumowanie

    Chociaż sam exploit może wydawać się zastraszający, nie jest trudno go rozwiązać za pomocą kilku linii wiersza polecenia. Mamy nadzieję, że udało Ci się to zrobić i teraz czujesz się lepiej chroniony przed przyszłymi próbami wykorzystania Twojego systemu z boku. Inicjowanie infekcji złośliwym oprogramowaniem za pomocą złośliwie zmodyfikowanych plików opartych na makrach, takich jak Word, jest ogólnie bardzo popularną metodą wykorzystywaną przez osoby atakujące. Różne wirusy, takie jak ransomware i trojany, mogą być również dystrybuowane za pośrednictwem takich plików w wiadomościach e-mail, które po otwarciu powodują nieodwracalną instalację złośliwego oprogramowania. Dlatego ważne jest, aby trzymać się z daleka od niechcianych treści reklamowanych na przykład na podejrzanych stronach lub listach e-mailowych.

Poprzedni artykułJak usunąć wirusa kalendarza Androida
Następny artykułJak zatrzymać spam e-mailowy „Niestety, są dla Ciebie złe wieści”.
Artur Łozowski
Artur Łozowski