O que é exploração MSDT “Follina”
Update: 0patch.com A equipe desenvolveu uma série de micropatches para corrigir a exploração e patches do MSDT “Follina” para outros problemas de estabilidade e segurança do Windows. Por favor, leia mais em Este artigo ou sobre o website oficial.
Muito recentemente, os hackers encontraram uma nova vulnerabilidade do Windows para ajudar na penetração de sistemas com malware. A exploração está inerentemente relacionada ao MSDT (Microsoft Support Diagnostic Tool) e permite que os cibercriminosos executem várias ações implantando comandos por meio do console do PowerShell. Foi, portanto, chamado Follina e atribuído a este código de rastreador CVE-2022-30190. De acordo com alguns especialistas respeitáveis que pesquisaram esse problema, a exploração acaba sendo bem-sucedida quando os usuários abrem arquivos maliciosos do Word. Os agentes de ameaças usam o recurso de modelo remoto do Word para solicitar um arquivo HTML de um servidor Web remoto. Depois disso, os invasores obtêm acesso à execução de comandos do PowerShell para instalar malware, manipular dados armazenados no sistema e executar outras ações maliciosas. O exploit também é imune a qualquer proteção antivírus, ignorando todos os protocolos de segurança e permitindo que infecções passem despercebidas.
Baixar ferramenta de reparo do Windows
Existem utilitários de reparo especiais para Windows, que podem resolver problemas relacionados a exploits de segurança, segurança do sistema, corrupção do registro, mau funcionamento do sistema de arquivos, instabilidade dos drivers do Windows. Recomendamos que você use o Advanced System Repair Pro para corrigir o exploit “Follina” MSDT no Windows 11, Windows 10 ou Windows 7.
A Microsoft trabalha na solução de exploração e promete lançar uma atualização de correção o mais rápido possível. Portanto, recomendamos que você verifique constantemente seu sistema em busca de novas atualizações e instale-as eventualmente. Antes disso, podemos orientá-lo pelo método de resolução oficial sugerido pela Microsoft. O método é desabilitar o protocolo de URL MSDT, o que evitará que outros riscos sejam explorados até que uma atualização apareça. Como observação lateral, você também pode explorar a lista de quais versões do Windows já foram exploradas até agora:
Desative o protocolo de URL MSDT para corrigir a exploração
Os recursos internos do Windows permitem o uso do Prompt de Comando para desabilitar a operação do protocolo MSDT URL. Abaixo, teremos que executar vários comandos de copiar e colar. Também será importante criar um verso do Registro do Windows para restaurar a operação do MSDT, se necessário no futuro. As etapas descritas abaixo são quase as mesmas em todos os sistemas Windows, portanto, não deve haver nenhum problema com isso.
- Clique em ciclo de pesquisa próximo ao Menu Iniciar botão e tipo
cmdna barra de pesquisa. - Clique com o botão direito e escolha Executar como administrador. Concorde com a ação para prosseguir.
- Quando estiver no console do Prompt de Comando, copie e cole este comando para criar um arquivo de backup. Antes de executar o comando, substitua
file_pathcom o local onde você deseja salvar seu backup. - Press Entrar e aguarde alguns instantes até que o backup seja criado com sucesso.
- Depois disso, você está pronto para desabilitar o próprio protocolo. Copie e cole este comando e pressione Entrar.
- Depois de ver uma mensagem dizendo A operação foi concluída com êxito, isso significará que o protocolo de URL MSDT foi desabilitado e não pode mais ser explorado.
reg export HKEY_CLASSES_ROOT\ms-msdt file-path
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Como habilitar o protocolo de URL MSDT novamente
Restaurar o protocolo de URL MSDT já desabilitado é muito fácil. Isso pode ser feito depois que a Microsoft lançou um método de solução que corrige os riscos de segurança. Você simplesmente terá que importar o arquivo de backup que foi criado antes de desligar o protocolo.
- Abra o mesmo prompt de comando usando as etapas listadas acima.
- Copie e cole este comando e substitua
file_pathcom o local onde o arquivo de backup foi salvo. - Press Entrar e aguarde até que apareça uma mensagem sobre a conclusão bem-sucedida.
reg import
Resumo
Embora a exploração em si possa parecer intimidadora, não é difícil resolvê-la usando algumas linhas do Prompt de Comando. Esperamos que você tenha conseguido fazer isso e agora se sinta mais protegido contra futuras tentativas de explorar seu sistema de lado. Desencadear infecções por malware por meio de arquivos baseados em macros modificados de forma maliciosa, como o Word, é, em geral, um método muito popular usado por invasores. Vários vírus como ransomware e trojans também podem ser distribuídos através desses arquivos em mensagens de e-mail que, uma vez abertos, causam a instalação irreversível de malware. Por isso, é importante ficar longe de conteúdos indesejados anunciados em páginas duvidosas ou cartas de e-mail, por exemplo.
