В начале этой недели одним из самых громких событий в сфере кибербезопасности стало обнаружение критической уязвимости CVE-2022-30190 в MS Office. Составленные определенным образом документы в форматах .docx и .rtf после открытия на компьютере жертвы могли исполнять произвольный код с администраторскими правами доступа.
Исследователи в области кибербезопасности назвали уязвимость Follina и рассказали, как именно она работает. Как оказалось, виной всему встроенная в Windows утилита MSDT - Microsoft Support Diagistic Tool, которую использует служба поддержки Microsoft для удаленного сбора информации о различных неполадках и устранения проблем у пользователей. Как оказалось, гиперссылки, котые вместо привычных нам http:// и https:// начинаются с msdt:// открываются в том самом Microsoft Support Diagistic Tool и, более того, могут заставить утилиту выполнять те или иные действия с правами администратора.
Именно это и происходит, когда пользователь открывает зараженный документ. Даже в режиме защищенного просмотра автоматически открывается зашитая ссылка на MSDT, следуя инструкциям из которой утилита техподдержки открывает Powershell и после этого может выполнить в нем практически любые команды. Учитывая то, что данная уязвимость требует от пользователя только открытия документа, потенциал для ее использования очень широк.
В настоящее время от данной уязвимости можно защититься. Для этого в Microsoft рекомендуют удалить из системы поддержку протокола msdt:// для гиперссылок. Делается это следующим образом:
1. Запустите командную строку от имени Администратора
2. Сделайте резервную копию ключа соответствующего ключа реестра “reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.txt“
3. Выполните команду “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
После выпуска официального патча отменить осуществленные действия можно с помощью команды “reg import ms-msdt.txt”. Выполнять ее также необходимо в командной строке, запущенной от имени администратора.
Отметим, что еще одним способом защититься от подобной атаки является использование альтернативного офисного ПО. Так, недавно все кировские школы отказались от MS Office в пользу отечественного продукта "Мой Офис".