По старой доброй традиции безопасностью в решениях Microsoft з | ISACARuSec

По старой доброй традиции безопасностью в решениях Microsoft занимаются все, кроме самой Microsoft.

0-day уязвимость CVE-2022-30190 в Microsoft Windows Support Diagnostic Tool (MSDT), также известная как Follina, получила общедоступное неофициальное исправление, выпущенное 0patch.
 
Патч адаптирован для следующих уязвимых версий Windows: Windows 11 v21H2, Windows 10 (от v1803 до v21H2), Windows 7 и Windows Server 2008 R2

Тем временем RCE-уязвимость обзавелась PoC-эксплойтом и уже состоит в арсенале почти всего киберподполья.

Сам Редмонд при этом до настоящего времени не выпустил ничего, ограничившись мерами по смягчению последствий для блокировки атак, посоветовав отключить протокол URL-адресов MSDT.

Однако 0patch пошли по другому пути, вместо отключения обработчика протокола URL-адреса MSDT, они добавили очистку предоставленного пользователем пути (в настоящее время отсутствует в сценарии Windows) для предотвращения вывода мастера диагностики Windows из строя в ОС для всех приложений.

0patch отмечают, что не имеет значения, какая версия Office установлена и установлена ли она вообще: уязвимость также может быть использована с помощью других векторов атак.

Чтобы развернуть микропатч в Windows следует использовать 0patch-агент, который автоматически загрузит и применит исправление.

Ожидающим официального патча от Microsoft в первой итерации (когда он выйдет), скорее всего нужно будет откатить обновление и дождаться новых двух: один из них закроет основную проблему, а второй - проблему, которая возникнет после исправления основной.