如何修复 Microsoft “Follina” MSDT Windows 零日漏洞

Microsoft 已承认 Windows 中存在一个严重的零日漏洞,影响所有主要版本,包括 Windows 11、Windows 10、Windows 8.1 甚至 Windows 7。该漏洞使用跟踪器 CVE-2022-30190 或 Follina,允许攻击者在不触发 Windows Defender 的情况下在 Windows 上远程运行恶意软件 或其他安全软件。 幸运的是,微软已经分享了一个官方的解决方法来降低风险。 在本文中,我们详细介绍了保护您的 Windows 11/ 10 PC 免受最新零日漏洞影响的步骤。

修复“Follina”MSDT Windows 零日漏洞(2022 年 6 月)

什么是 Follina MSDT Windows 零日 (CVE-2022-30190) 漏洞?

在我们着手修复漏洞的步骤之前,让我们了解漏洞利用的全部内容。 已知的 CVE-2022-30190 跟踪代码,零日漏洞是 链接到 Microsoft 支持诊断工具 (MSDT). 利用此漏洞,攻击者可以在打开恶意 Office 文档时通过 MSDT 远程运行 PowerShell 命令。

“当使用 URL 协议从 Word 等调用应用程序调用 MSDT 时,存在远程代码执行漏洞。 成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。 然后,攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户,” 微软解释道。

正如研究员 Kevin Beaumont 解释的那样, 攻击使用 Word 的远程模板功能从远程 Web 服务器检索 HTML 文件. 然后它使用 ms-msdt MSProtocol URI 方案来加载代码并执行 PowerShell 命令。 附带说明一下,该漏洞利用名称为“Follina”,因为示例文件引用了意大利 Follina 的区号 0438。

此时,您可能想知道为什么 Microsoft 的受保护视图不会阻止文档打开链接。 好吧,那是因为执行甚至可能超出受保护视图的范围。 作为研究员约翰·哈蒙德 突出显示 在 Twitter 上,该链接可以直接从资源管理器的预览窗格中以富文本格式 (.rtf) 文件的形式执行。

根据 ArsTechnica 的 报道称,Shadow Chaser Group 的研究人员早在 4 月 12 日就已将该漏洞提请微软注意。尽管微软在一周后回复了该漏洞,但该公司 似乎已经驳回了它 因为他们最终无法复制相同的内容。 尽管如此,该漏洞现在被标记为 0day,Microsoft 建议禁用 MSDT URL 协议作为一种解决方法,以保护您的 PC 免受攻击。

我的 Windows PC 是否容易受到 Follina Exploit 的攻击?

在其安全更新指南页面上,微软有 列出了 41 个易受 Follina CVE-2022-30190 漏洞影响的 Windows 版本. 它包括 Windows 7、Windows 8.1、Windows 10、Windows 11 甚至 Windows Server 版本。 查看以下受影响版本的完整列表:

  • 适用于 32 位系统的 Windows 10 版本 1607
  • 适用于基于 x64 的系统的 Windows 10 版本 1607
  • 适用于 32 位系统的 Windows 10 版本 1809
  • 适用于基于 ARM64 的系统的 Windows 10 版本 1809
  • 适用于基于 x64 的系统的 Windows 10 版本 1809
  • 适用于 32 位系统的 Windows 10 版本 20H2
  • 适用于基于 ARM64 的系统的 Windows 10 版本 20H2
  • 适用于基于 x64 的系统的 Windows 10 版本 20H2
  • 适用于 32 位系统的 Windows 10 版本 21H1
  • 适用于基于 ARM64 的系统的 Windows 10 版本 21H1
  • 适用于基于 x64 的系统的 Windows 10 版本 21H1
  • 适用于 32 位系统的 Windows 10 版本 21H2
  • 适用于基于 ARM64 的系统的 Windows 10 版本 21H2
  • 适用于基于 x64 的系统的 Windows 10 版本 21H2
  • 适用于 32 位系统的 Windows 10
  • 适用于基于 x64 的系统的 Windows 10
  • 适用于基于 ARM64 的系统的 Windows 11
  • 适用于基于 x64 的系统的 Windows 11
  • 适用于 32 位系统的 Windows 7 Service Pack 1
  • 适用于基于 x64 的系统的 Windows 7 Service Pack 1
  • 适用于 32 位系统的 Windows 8.1
  • 适用于基于 x64 的系统的 Windows 8.1
  • 视窗 RT 8.1
  • 适用于基于 x64 的系统的 Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1(服务器核心安装)
  • 适用于 32 位系统的 Windows Server 2008 Service Pack 2
  • 适用于 32 位系统的 Windows Server 2008 Service Pack 2(服务器核心安装)
  • 适用于基于 x64 的系统的 Windows Server 2008 Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2(服务器核心安装)
  • 视窗服务器 2012
  • Windows Server 2012(服务器核心安装)
  • 视窗服务器 2012 R2
  • Windows Server 2012 R2(服务器核心安装)
  • 视窗服务器 2016
  • Windows Server 2016(服务器核心安装)
  • 视窗服务器 2019
  • Windows Server 2019(服务器核心安装)
  • 视窗服务器 2022
  • Windows Server 2022(服务器核心安装)
  • Windows Server 2022 Azure 版核心热补丁
  • Windows Server,版本 20H2(服务器核心安装)

禁用 MSDT URL 协议以保护 Windows 免受 Follina 漏洞的影响

1. 按键盘上的 Win 键,然后 输入“命令” 或“命令提示符”。 结果出现时,选择“以管理员身份运行”以打开提升的命令提示符窗口。

在 Windows 上以管理员身份运行命令提示符

2. 在修改注册表之前,请使用以下命令进行备份。 这样,一旦微软推出官方补丁,您就可以选择恢复协议。 此处,文件路径是指您要保存 .reg 备份文件的位置。

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
备份您的注册表

3. 您现在可以运行以下命令来禁用 MSDT URL 协议。 如果成功,您将在命令提示符窗口中看到文本“操作成功完成”。

reg delete HKEY_CLASSES_ROOTms-msdt /f
禁用 msdt url 协议的命令

4. 要稍后恢复协议,您必须使用您在第二步中创建的注册表备份。 运行以下命令,您将再次访问 MSDT URL 协议。

reg import <file_path.reg>
恢复注册表项

保护您的 Windows PC 免受 MSDT Windows 零日漏洞的侵害

因此,您需要遵循这些步骤来禁用 Windows PC 上的 MSDT URL 协议以防止 Follina 漏洞利用。 在 Microsoft 为所有版本的 Windows 推出官方安全补丁之前,您可以使用这个方便的解决方法来保护 CVE-2022-30190 Windows Follina MSDT 零日漏洞。 说到保护您的 PC 免受恶意程序的侵害,您还可以考虑安装专用的恶意软件清除工具或防病毒软件,以免受其他病毒的侵害。

Leave a Comment

Your email address will not be published.