微软发布关于Office产品“Follina”漏洞的指南 媒体
Microsoft 发布关于 Follina 漏洞的指导
关键要点
Microsoft 发布了关于 Follina 漏洞的安全指导,该漏洞允许在应用程序中远程执行代码。漏洞编号为 CVE202230190,影响 Microsoft Support Diagnostic Tool (MSDT)。攻击者可以通过该漏洞以调用应用程序的权限运行任意代码。用户需采取措施禁用 MSDT URL 协议,确保安全性。Microsoft 于周一发布了针对一个漏洞的安全指导,该漏洞允许在使用 URL 协议的应用程序中如 Microsoft Word进行远程代码执行。
该漏洞的编号为 CVE202230190,涉及 Windows 中的 Microsoft Support Diagnostic Tool (MSDT)。这一漏洞最早是在纪念日周末被日本安全公司 Nao Sec 的研究人员报告的。
安全研究员 Kevin Beaumont 将这一漏洞命名为“Folina”,因为该零日代码引用了0438,这是意大利 Follina 的区号。Beaumont 指出,Defender for Endpoint 未能检测到该漏洞的利用,攻击者可以通过此漏洞从远程 web 服务器检索 HTML 文件,从而执行 PowerShell 代码。
成功利用该漏洞的攻击者可以以调用应用程序的权限运行任意代码,这使得攻击者能够安装程序、修改或删除数据,甚至根据用户的权限创建新账户。相关信息已在 Microsoft 的安全博客 中发布。
quickq加速器
为禁用 MSDT URL 协议,Microsoft 建议用户执行以下步骤:
以管理员身份运行命令提示符。备份注册表键,执行命令 reg export HKEYCLASSESROOTmsmsdt filename。执行命令 reg delete HKEYCLASSESROOTmsmsdt /f。Microsoft 还表示,启用 Defender Antivirus 的客户应开启云保护和自动样本提交功能,而使用 Defender for Endpoint 的客户可以启用攻击面减少规则“BlockOfficeCreateProcessRule”,以阻止 Office 应用程序创建子进程。
美国网络安全和基础设施安全局 于周二发布了关于 Follina 的警报,呼吁用户和管理员应用必要的解决方法以提高安全性。