Windows MSDT 0-dagssårbarhed får uofficiel patch

Af Eskil Sørensen, 02/06/22

Hjælp til håndtering af Follina fra uofficiel kant.

En uofficiel patch til blokering af de igangværende angreb mod Windows-systemer er nu tilgængelig.

Det skriver Bleeping Computer.

Fejlen, der er en kritisk nul-dages sårbarhed kendt som 'Follina', med 7,8 på CVSS-skalaen er beskrevet som en fejl ved fjernudførelse af Microsoft Windows Support Diagnostic Tool (MSDT). De påvirker alle Windows-versioner, der stadig modtager sikkerhedsopdateringer (Windows 7+ og Server 2008+).

Får angribere held med at udnytte sårbarheden, kan de afvikle vilkårlig kode med rettighederne fra den opkaldende app til at installere programmer, se, ændre eller slette data eller oprette nye Windows-konti som tilladt af brugerens rettigheder.

Microsoft har ikke udsendt sikkerhedsopdateringer endnu, men orienteret offentligheden om, at angreb kan blokeres ved deaktivering af MSDT URL-protokollen. Det er den, som ondsindede aktører bruger til at udføre kode på sårbare systemer. Det er også muligt at slå ’preview’-ruden fra i Windows Stifinder for at fjerne den som en ekstra angrebsvektor, der kan udnyttes ved forhåndsvisning af ondsindede dokumenter.

Uofficiel patch

Det er her, 0patch micropatching-tjenesten kommer ind. Den har nemlig udsendt gratis og uofficielle mikropatches til nogle versioner af Windows, som påvirket af Follina-sikkerhedsfejlen. I skrivende stund handler det om Windows 11 v21H2, Windows 10 (fra v1803 til v21H2), Windows 7 og Windows Server 2008 R2.

0patch har tilføjet rensning af den brugerleverede sti, hvilket i øjeblikket mangler i Windows-scriptet. Dette for at undgå at gøre Windows-diagnoseguiden ubrugelig på tværs af operativsystemet for alle applikationer. Det skulle angiveligt være ifølge Bleeping Computer kan gøres i stedet for deaktivering MSDT URL-protokolbehandleren.

For at implementere mikropatchen på Windows-system, hvilket er gratis indtil Microsoft har udstedt en officiel rettelse, skal man registrere en 0patch-konto og installere 0patch-agenten. Når agenten er lanceret, vil den automatisk downloade og anvende patchen, medmindre lokale sikkerhedspolitikker forhindrer det.

CISA har opfordret Windows-administratorer og -brugere til at deaktivere MSDT-protokollen og har føjet sårbarheden til sin KEV-liste.

Links:

https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-vulnerability-gets-free-unofficial-patch/

https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaround-guidance-msdt-follina-vulnerability

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

 

Keywords: 
Follina