В Microsoft рассказали, как защититься от критической уязвимости в MS Office

Уязвимость нулевого дня для удаленного выполнения кода использует официальную утилиту MSDT.

В начале этой недели одним из самых громких событий в сфере кибербезопасности стало обнаружение критической уязвимости  CVE-2022-30190 в MS Office. Составленные определенным образом документы в форматах  .docx и .rtf после открытия на компьютере жертвы могли исполнять произвольный код с администраторскими правами доступа. 

Исследователи в области кибербезопасности назвали уязвимость  Follina и рассказали, как именно она работает. Как оказалось, виной всему встроенная в Windows  утилита MSDT - Microsoft Support Diagistic Tool, которую использует служба поддержки Microsoft для удаленного сбора информации о различных неполадках и  устранения проблем у пользователей. Как оказалось, гиперссылки, котые вместо привычных нам http:// и https:// начинаются с msdt:// открываются в том самом  Microsoft Support Diagistic Tool и, более того, могут заставить утилиту выполнять те или иные действия с правами администратора.

Именно это и происходит, когда пользователь открывает зараженный документ. Даже в режиме защищенного просмотра автоматически открывается зашитая ссылка на MSDT, следуя инструкциям из которой утилита техподдержки открывает Powershell и после этого может выполнить в нем практически любые команды. Учитывая то, что данная уязвимость требует от пользователя только открытия документа, потенциал для ее использования очень широк. 

В настоящее время от данной уязвимости можно защититься. Для этого в Microsoft рекомендуют удалить из системы поддержку протокола msdt:// для гиперссылок. Делается это следующим образом: 

1. Запустите командную строку от имени Администратора

2. Сделайте резервную копию ключа соответствующего ключа реестра  “reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.txt“

3. Выполните команду “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

После выпуска официального патча отменить осуществленные действия можно с помощью команды  “reg import ms-msdt.txt”. Выполнять ее также необходимо в командной строке, запущенной от имени администратора. 

Отметим, что еще одним способом защититься от подобной атаки является использование альтернативного офисного ПО. Так, недавно все кировские школы отказались от MS Office в пользу отечественного продукта "Мой Офис" .