Что такое MSDT-эксплойт Follina

Обновление: 0patch.com команда разработала серию микропатчей для исправления эксплойта Follina MSDT, а также других проблем, связанных со стабильностью и безопасностью Windows. Пожалуйста, прочтите больше в этой статье или на Официальном сайте.

Совсем недавно хакеры обнаружили новую уязвимость в Windows, помогающая внедрять в систему вредоносные программы. Эксплойт по своей сути связан с MSDT (средством диагностики поддержки Microsoft) и позволяет киберпреступникам выполнять различные действия, отправляя команды через консоль PowerShell. Данному эксплойту дали имя Follina, а также присвоили код отслеживания CVE-2022-30190. По мнению некоторых авторитетных экспертов, исследовавших эту проблему, эксплойт срабатывает, когда пользователи открывают вредоносные файлы Word. Злоумышленники используют функцию удаленного шаблона Word для запроса HTML-файла с удаленного веб-сервера. После этого злоумышленники получают доступ к выполнению команд PowerShell для установки вредоносных программ, манипуляции данными, а также выполнения других вредоносных действий. Эксплойт также обходит любую антивирусную защиту, игнорируя все протоколы безопасности и позволяя инфекциям проникать незамеченными.

эксплойт follina msdt

Скачать средство восстановления Windows

Скачать средство восстановления Windows

совместим с Microsoft

Существуют специальные утилиты восстановления для Windows, которые могут решить проблемы, связанные с эксплойтами безопасности, безопасностью системы, повреждением реестра, неисправностью файловой системы, нестабильностью драйверов Windows. Мы рекомендуем вам использовать Advanced System Repair Pro для исправления эксплойта Follina MSDT в Windows 11, Windows 10 или Windows 7.

Microsoft работает над решением эксплойта и обещает выпустить исправление как можно скорее. Поэтому мы рекомендуем постоянно проверять вашу систему на наличие новых обновлений и в конечном итоге устанавливать их. До тех пор, мы можем показать вам официальный метод разрешения, предложенный Microsoft. Метод заключается в отключении протокола URL-адресов MSDT, что предотвратит дальнейшее использование эксплойта, пока не появится обновление. В качестве примечания вы также можете изучить список версий Windows, которые уже подвергались эксплойту:

Windows 11 для систем на базе ARM64
Windows 11 для систем на базе x64
Windows 10 версии 1607 для 32-разрядных систем
Windows 10 версия 1607 для систем на базе x64
Windows 10 версии 1809 для 32-разрядных систем
Windows 10 версии 1809 для систем на базе ARM64
Windows 10 версия 1809 для систем на базе x64
Windows 10 версии 20H2 для 32-разрядных систем
Windows 10 версии 20H2 для систем на базе ARM64
Windows 10 версии 20H2 для систем на базе x64
Windows 10 версии 21H1 для 32-разрядных систем
Windows 10 версии 21H1 для систем на базе ARM64
Windows 10 версии 21H1 для систем на базе x64
Windows 10 версии 21H2 для 32-разрядных систем
Windows 10 версии 21H2 для систем на базе ARM64
Windows 10 версии 21H2 для систем на базе x64
Windows 10 для 32-битных систем
Windows 10 для систем на базе x64
Windows 8.1 для 32-битных систем
Windows 8.1 для 64-разрядных систем
Windows RT 8.1
Windows 7 для 32-битных систем с пакетом обновления 1
Windows 7 для систем на основе x64 с пакетом обновления 1
Windows Server 2022
Windows Server 2022 (установка ядра сервера)
Исправление ядра Windows Server 2022 Azure Edition
Windows Server, версия 20H2 (установка ядра сервера)
Windows Server 2019
Windows Server 2019 (установка ядра сервера)
Windows Server 2016
Windows Server 2016 (установка ядра сервера)
Windows Server 2012
Windows Server 2012 (установка ядра сервера)
Windows Server 2012 R2
Windows Server 2012 R2 (установка ядра сервера)
Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1
Windows Server 2008 R2 для систем на базе x64 с пакетом обновления 1 (установка ядра сервера)
Windows Server 2008 для 32-битных систем с пакетом обновления 2
Windows Server 2008 для 32-битных систем Пакет обновления 2 (установка Server Core)
Windows Server 2008 для систем на основе x64 с пакетом обновления 2
Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка ядра сервера)
Показать больше
Скрыть

Отключите протокол URL-адресов MSDT, чтобы исправить эксплойт.

Встроенные функции Windows позволяют использовать командную строку для отключения работы протокола MSDT URL. Ниже нам нужно будет выполнить ряд команд. Также будет важно создать резервную копию реестра Windows, чтобы при необходимости восстановить работу MSDT в будущем. Шаги, описанные ниже, практически одинаковы во всех системах Windows, так что с этим не должно возникнуть никаких проблем.

  1. Нажмите на поисковую лупу рядом с Меню Пуск и напишите cmd в панель поиска.
  2. Щелкните правой кнопкой мыши и выберите Запуск от имени администратора. Согласитесь с действием, чтобы продолжить.
  3. Как только откроется консоль, скопируйте и вставьте эту команду, чтобы создать файл резервной копии. Перед выполнением команды замените file_path на место, где хотите сохранить резервную копию.

    4. reg export HKEY_CLASSES_ROOT\ms-msdt file-path

  4. Нажмите Enter и подождите несколько секунд, пока резервная копия не будет успешно создана.
  5. После этого можно будет отключить сам протокол. Скопируйте и вставьте эту команду и нажмите Enter.

    6. reg delete HKEY_CLASSES_ROOT\ms-msdt /f

  6. Как только вы увидите сообщение о том, что Операция успешно завершена, это будет означать, что протокол URL-адресов MSDT отключен, а эксплойт, связанный с ним, больше не будет работать.

исправить эксплойт msdt

Как снова включить протокол URL-адресов MSDT

Восстановить уже отключенный протокол URL-адресов MSDT очень просто. Это можно сделать после того, как Microsoft выкатит обновление, которое устранит риски безопасности. Вам просто нужно будет импортировать файл резервной копии, который был создан до отключения протокола.

  1. Откройте ту же командную строку, выполнив шаги, перечисленные выше.
  2. Скопируйте-вставьте эту команду и замените file_path на место, где был сохранен файл резервной копии.

    3. reg import

  3. Нажмите Enter и дождитесь появления сообщения об успешном завершении.

    4. Обзор

    Хотя сам эксплойт может показаться пугающим, его несложно устранить с помощью пары строк командной строки. Мы надеемся, что вам удалось это сделать, и теперь вы чувствуете себя более защищенным от будущих попыток воспользоваться уязвимостями вашей системы извне. Запуск вредоносных программ через злонамеренно модифицированные макросами файлы, такие как Word, в целом является очень популярным методом, которым пользуются злоумышленники. Различные вирусы, такие как крипто-вымогатели или трояны, также могут распространяться через такие файлы в сообщениях электронной почты, которые после открытия ведут к необратимой установке вредоносного ПО. Поэтому важно держаться подальше от нежелательного контента, рекламируемого на сомнительных страницах или, например, в письмах электронной почты.

Предыдущая статьяКак удалить вирус Календаря Android
Следующая статьяКак избавиться от спам-сообщений «Unfortunately, There Are Some Bad News For You»
Артур Лозовский
Артур Лозовский