Gestern haben wir über das Auftauchen eines neuen Zero-Day berichtet, der Microsoft Office und andere Microsoft-Produkte betrifft, dubbed Folline von Forscher Kevin Beaumont. Das Problem besteht in allen derzeit unterstützten Windows-Versionen, und kann über Microsoft Office-Versionen genutzt werden 2013 zum Amt 2019, Büro 2021, Büro 365, und Office ProPlus.
Die Schwachstelle wurde vom nao_sec-Forschungsteam entdeckt, nach der Entdeckung eines Word-Dokuments, das von einer belarussischen IP-Adresse auf VirusTotal hochgeladen wurde. Die Forscher veröffentlichten eine Reihe von Tweets, in denen sie ihre Entdeckung detailliert beschrieben. Der Fehler nutzt den externen Link von Microsoft Word, um den HTML-Code zu laden, und verwendet dann das „ms-msdt“-Schema, um PowerShell-Code auszuführen.
Follina-Schwachstelle erhält jetzt eine CVE-Kennung
Microsoft hat gerade Schadensbegrenzungstechniken gegen Follina geteilt, dem nun die Kennung CVE-2022-30190 zugewiesen wird. Bei der Sicherheitsanfälligkeit handelt es sich um ein Problem mit der Remotecodeausführung, das das Microsoft Windows-Support-Diagnosetool betrifft (MSDT). Kurz gesagt, Der Zero-Day ermöglicht die Codeausführung in einer Reihe von Microsoft-Produkten, die in verschiedenen Angriffsszenarien ausgenutzt werden können. Weiter, Die Schwachstelle „durchbricht die Grenze der Deaktivierung von Makros,“, wobei die Anbietererkennung sehr schlecht ist.
Laut Microsoft neu veröffentlichter Blog, CVE-2022-30190 wird ausgelöst, wenn MSDT mithilfe des URL-Protokolls von einer aufrufenden Anwendung aufgerufen wird:
Es besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn MSDT unter Verwendung des URL-Protokolls von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Blick, Veränderung, oder Löschen von Daten, oder erstellen Sie neue Konten in dem Kontext, der durch die Rechte des Benutzers erlaubt ist.
Wie kann CVE-2022-30190 entschärft werden??
„Das Deaktivieren des MSDT-URL-Protokolls verhindert, dass Problembehandlungen als Links gestartet werden, einschließlich Links im gesamten Betriebssystem,“Microsoft sagte,. Sie können weiterhin auf Fehlerbehebungen zugreifen, indem Sie die Anwendung „Hilfe abrufen“ verwenden, sowie in den Systemeinstellungen. Die Schritte, die unternommen werden sollten, um die Schwachstelle zu mindern, sind die folgenden:
1.Führen Sie die Eingabeaufforderung als Administrator aus.
2.So sichern Sie den Registrierungsschlüssel, Führen Sie den Befehl „reg export HKEY_CLASSES_ROOTms-msdt filename“ aus
3.Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOTms-msdt /f“ aus.
Wir werden diesen Artikel aktualisieren, wenn neue Informationen zu CVE-2022-30190 erscheinen.