Již sedm týdnů je ve všech podporovaných verzích Windows zneužívaná zranitelnost, která umožňuje dálkové spuštění kódu. Zranitelnost dokáže obejít Windows Defender či jakýkoliv antivirus a Microsoft ji odmítá opravit. Informoval o tom server Ars Technica.
Zranitelnost byla společnosti Microsoft nahlášena 12. dubna a již v té době byla aktivně zneužívána. Zranitelnost využívá chybu v nástroji Microsoft Support Diagnostic Tool (MSDT) a byla nahlášena jako zero-day útok. Microsoft na nahlášení odpověděl 21. dubna. V odpovědi ale informovala, že nepovažuje nahlášené chování za bezpečnostní zranitelnost, protože údajně nástroj MSDT vyžadoval před spuštěním heslo.
V pondělí si to ale Microsoft rozmyslel a označil toto chování jako zranitelnost CVE-2022-30190, neoficiálně se nazývá Follina.
„Zranitelnost spočívající ve vzdáleném spuštění kódu existuje, když je MSDT volán pomocí protokolu URL z volající aplikace, jako je Word,“ uvedl Microsoft. „Útočník, který tuto zranitelnost úspěšně zneužije, může spustit libovolný kód s právy volající aplikace. Útočník pak může instalovat programy, prohlížet, měnit nebo mazat data nebo vytvářet nové účty v kontextu povoleném právy uživatele.“
V době zveřejnění tohoto článku společnost Microsoft ještě nevydala opravu. Místo toho doporučila uživatelům, aby protokol MSDT URL zakázali:
- Spusťte příkazový řádek jako správce
- Spusťte příkaz „reg export HKEY_CLASSES_ROOT\ms-msdt název souboru„.
- A jako poslední spusťte příkaz „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“.
Infikovaný Word dokument nemusíte ani otevřít
Jak uvedl server Ars Technica, využití této zranitelnosti společně s Wordem se poprvé dostalo do širšího povědomí 27. května. Infikovaný Word dokument může načíst HTML ze vzdáleného webového serveru a následně spustit příkazy prostředí PowerShell prostřednictvím nástroje Microsoft MSDT.
Aplikace Word je obvykle nastavena tak, aby načítala obsah stažený z internetu v tzv. chráněném zobrazení. To je režim, který zakazuje makra a další potenciálně škodlivé funkce. Pokud je ale dokument uložen jako soubor Rich Text Format, spustí se škodlivý kód bez otevření dokumentu, stačí si soubor jen „prohlédnout“ v Průzkumníku souborů.
Vzhledem k rozšířenému používání sady Microsoft Office a souvisejících produktů je potenciální možnost pro útok velká. Aktuální informace naznačují, že zranitelnost Follina se týká sad Office 2013, 2016, 2019, 2021, Office ProPlus a Office 365.
