Sikkerhetshull i Windows: Beskytt deg mot Follina-sårbarheten!

by
Tweet
Share
Share
Pin
0 Shares

Sikre Windows mot den kritiske «Follina»-sårbarheten

Microsoft har nylig bekreftet eksistensen av en alvorlig, såkalt null-dagers sårbarhet i Windows-systemet. Denne sårbarheten, som har fått betegnelsen CVE-2022-30190 eller «Follina», påvirker et bredt spekter av Windows-versjoner, inkludert Windows 11, Windows 10, Windows 8.1 og til og med Windows 7. Sårbarheten åpner for at angripere kan eksternt installere skadelig programvare på Windows-maskiner uten at Windows Defender eller annen sikkerhetsprogramvare oppdager det. Heldigvis har Microsoft publisert en midlertidig løsning for å redusere risikoen. I denne artikkelen vil vi gå gjennom trinnene du kan ta for å beskytte dine Windows 11/10 PC-er mot denne siste null-dagers sårbarheten.

Hva er «Follina» MSDT Windows Null-Dagers Sårbarhet (CVE-2022-30190)?

Før vi går inn på selve løsningen, la oss se nærmere på hva denne sårbarheten faktisk innebærer. Denne null-dagers sårbarheten, som er kjent under referansen CVE-2022-30190, utnytter sårbarheter i Microsoft Support Diagnostic Tool (MSDT). Gjennom denne utnyttelsen kan angripere eksternt utføre PowerShell-kommandoer via MSDT når et ondsinnede Office-dokument åpnes.

Microsoft beskriver situasjonen slik: «Et sikkerhetsproblem knyttet til ekstern kjøring av kode oppstår når MSDT startes gjennom en URL-protokoll fra et program som Word. En angriper som utnytter denne sårbarheten, kan kjøre vilkårlig kode med de samme rettighetene som det kallende programmet. Angriperen kan dermed installere programmer, lese, endre eller slette data, eller opprette nye brukerkontoer, alt innenfor rammen av den aktuelle brukerens rettigheter.»

Sikkerhetseksperten Kevin Beaumont forklarer at angrepet utnytter Words funksjon for eksterne maler for å laste ned en HTML-fil fra en ekstern server. Deretter brukes «ms-msdt» MSProtocol URI-skjemaet for å laste inn kode og utføre PowerShell-kommandoer. Navnet «Follina» stammer fra at et av de tidlige eksempel-dokumentene refererte til 0438, telefonnummeret til Follina, en by i Italia.

Du lurer kanskje på hvorfor Microsofts «Beskyttet visning» ikke stopper dokumentet fra å åpne den skadelige koblingen. Problemet er at koden kan kjøres også utenfor «Beskyttet visning». Som sikkerhetsekspert John Hammond påpeker via Twitter, kan denne koblingen til og med aktiveres direkte fra forhåndsvisningspanelet i Utforskeren når du ser en fil i rikt tekstformat (.rtf).

Ifølge en rapport fra ArsTechnica ble Microsoft varslet om sårbarheten av forskere i Shadow Chaser Group allerede 12. april. Microsoft responderte en uke senere, men det ser ut til at de avviste saken fordi de ikke klarte å gjenskape den på sin side. Sårbarheten er nå likevel klassifisert som en null-dagers sårbarhet, og Microsoft anbefaler å deaktivere MSDT URL-protokollen som en midlertidig løsning for å beskytte PC-en din.

Er din Windows-PC sårbar for «Follina»-utnyttelsen?

På sin side for sikkerhetsoppdateringer har Microsoft listet opp 41 Windows-versjoner som er sårbare for «Follina» CVE-2022-30190 sårbarheten. Dette inkluderer Windows 7, Windows 8.1, Windows 10, Windows 11 og også ulike Windows Server-utgaver. Du finner en detaljert oversikt over de berørte versjonene nedenfor:

  • Windows 10 versjon 1607 for 32-biters systemer
  • Windows 10 versjon 1607 for x64-baserte systemer
  • Windows 10 versjon 1809 for 32-biters systemer
  • Windows 10 versjon 1809 for ARM64-baserte systemer
  • Windows 10 versjon 1809 for x64-baserte systemer
  • Windows 10 versjon 20H2 for 32-biters systemer
  • Windows 10 versjon 20H2 for ARM64-baserte systemer
  • Windows 10 versjon 20H2 for x64-baserte systemer
  • Windows 10 versjon 21H1 for 32-biters systemer
  • Windows 10 versjon 21H1 for ARM64-baserte systemer
  • Windows 10 versjon 21H1 for x64-baserte systemer
  • Windows 10 versjon 21H2 for 32-biters systemer
  • Windows 10 versjon 21H2 for ARM64-baserte systemer
  • Windows 10 versjon 21H2 for x64-baserte systemer
  • Windows 10 for 32-biters systemer
  • Windows 10 for x64-baserte systemer
  • Windows 11 for ARM64-baserte systemer
  • Windows 11 for x64-baserte systemer
  • Windows 7 for 32-biters systemer Service Pack 1
  • Windows 7 for x64-baserte systemer Service Pack 1
  • Windows 8.1 for 32-biters systemer
  • Windows 8.1 for x64-baserte systemer
  • Windows RT 8.1
  • Windows Server 2008 R2 for x64-baserte systemer Service Pack 1
  • Windows Server 2008 R2 for x64-baserte systemer Service Pack 1 (Server Core-installasjon)
  • Windows Server 2008 for 32-biters systemer Service Pack 2
  • Windows Server 2008 for 32-biters systemer Service Pack 2 (Server Core-installasjon)
  • Windows Server 2008 for x64-baserte systemer Service Pack 2
  • Windows Server 2008 for x64-baserte systemer Service Pack 2 (Server Core-installasjon)
  • Windows Server 2012
  • Windows Server 2012 (Server Core-installasjon)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core-installasjon)
  • Windows Server 2016
  • Windows Server 2016 (Server Core-installasjon)
  • Windows Server 2019
  • Windows Server 2019 (Server Core-installasjon)
  • Windows Server 2022
  • Windows Server 2022 (Server Core-installasjon)
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server, versjon 20H2 (Server Core Installation)

Slik deaktiverer du MSDT URL-protokollen for å beskytte Windows mot «Follina»-sårbarheten

1. Trykk på Win-tasten på tastaturet og skriv «cmd» eller «Ledetekst». Velg «Kjør som administrator» for å åpne et ledetekstvindu med administratorrettigheter.

2. Før du gjør endringer i registeret, anbefaler vi at du tar en sikkerhetskopi med kommandoen nedenfor. Da kan du enkelt gjenopprette protokollen når Microsoft lanserer en offisiell oppdatering. Angi ønsket filsti der du ønsker å lagre .reg-sikkerhetskopifilen.

reg export HKEY_CLASSES_ROOTms-msdt <filsti.reg>

3. Kjør nå følgende kommando for å deaktivere MSDT URL-protokollen. Hvis kommandoen utføres korrekt, ser du meldingen «Operasjonen fullført vellykket» i ledetekstvinduet.

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. For å gjenopprette protokollen senere, må du bruke registersikkerhetskopien du lagde i trinn 2. Kjør følgende kommando, og MSDT URL-protokollen vil være tilgjengelig igjen.

reg import <filsti.reg>

Sikre din Windows-PC mot MSDT Windows Null-Dagers Sårbarhet

Dette er trinnene du må følge for å deaktivere MSDT URL-protokollen på din Windows-PC for å forhindre «Follina»-utnyttelsen. Inntil Microsoft lanserer en offisiell sikkerhetsoppdatering for alle versjoner av Windows, kan denne midlertidige løsningen brukes for å beskytte deg mot CVE-2022-30190 Windows «Follina» MSDT null-dagers sårbarheten. Når det gjelder å beskytte datamaskinen din mot skadelig programvare, kan det også være lurt å installere dedikerte verktøy for å fjerne skadelig programvare eller et antivirusprogram for å være sikker mot andre virus.