Ontem, relatamos o surgimento de um novo dia zero que afeta o Microsoft Office e outros produtos da Microsoft, apelidado Follina pelo pesquisador Kevin Beaumont. O problema existe em todas as versões do Windows atualmente com suporte, e pode ser aproveitado por meio de versões do Microsoft Office 2013 para o escritório 2019, Escritório 2021, Escritório 365, e Office Pro Plus.
A vulnerabilidade foi descoberta pela equipe de pesquisa nao_sec, após a descoberta de um documento do Word carregado no VirusTotal de um endereço IP da Bielorrússia. Os pesquisadores postaram uma série de tweets detalhando sua descoberta. A falha aproveita o link externo do Microsoft Word para carregar o HTML e, em seguida, usa o esquema 'ms-msdt' para executar o código do PowerShell.
Vulnerabilidade Follina agora recebe um identificador CVE
Microsoft acaba de compartilhar técnicas de mitigação contra Follina, que agora recebe o identificador CVE-2022-30190. A vulnerabilidade é um problema de execução remota de código que afeta a ferramenta de diagnóstico de suporte do Microsoft Windows (MSDT). disse brevemente, o dia zero permite a execução de código em uma variedade de produtos da Microsoft, que pode ser explorado em vários cenários de ataque. além disso, a vulnerabilidade “rompe o limite de ter macros desabilitadas,” com a detecção do fornecedor sendo muito ruim.
De acordo com a Microsoft de blog recém lançado, CVE-2022-30190 é acionado quando o MSDT é chamado usando o protocolo de URL de um aplicativo de chamada:
Existe uma vulnerabilidade de execução remota de código quando o MSDT é chamado usando o protocolo de URL de um aplicativo de chamada, como o Word. Um invasor que explorar com êxito essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada. O invasor pode então instalar programas, Visão, mudança, ou dados de exclusão, ou crie novas contas no contexto permitido pelos direitos do usuário.
Como o CVE-2022-30190 pode ser mitigado?
“A desativação do protocolo de URL MSDT impede que os solucionadores de problemas sejam iniciados como links, incluindo links em todo o sistema operacional,”Microsoft disse. Você ainda pode acessar os solucionadores de problemas usando o aplicativo Get Help, bem como nas configurações do sistema. As etapas que devem ser tomadas para mitigar a vulnerabilidade são as seguintes:
1.Execute o prompt de comando como administrador.
2.Para fazer backup da chave de registro, execute o comando “reg export HKEY_CLASSES_ROOTms-msdt filename“
3.Execute o comando “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
Atualizaremos este artigo quando novas informações sobre o CVE-2022-30190 aparecerem.