Microsoft 发布关于 Follina 漏洞的指导

关键要点

• Microsoft 发布了关于 Follina 漏洞的安全指导，该漏洞允许在应用程序中远程执行代码。
• 漏洞编号为 CVE-2022-30190，影响 Microsoft Support Diagnostic Tool (MSDT)。
• 攻击者可以通过该漏洞以调用应用程序的权限运行任意代码。
• 用户需采取措施禁用 MSDT URL 协议，确保安全性。

Microsoft 于周一发布了针对一个漏洞的安全指导，该漏洞允许在使用 URL 协议的应用程序中（如 Microsoft Word）进行远程代码执行。

该漏洞的编号为 CVE-2022-30190，涉及 Windows 中的 Microsoft Support Diagnostic Tool
(MSDT)。这一漏洞最早是在纪念日周末被日本安全公司 的研究人员报告的。

安全研究员
将这一漏洞命名为“Folina”，因为该零日代码引用了0438，这是意大利 Follina 的区号。Beaumont 指出，Defender forEndpoint 未能检测到该漏洞的利用，攻击者可以通过此漏洞从远程 web 服务器检索 HTML 文件，从而执行 PowerShell 代码。

成功利用该漏洞的攻击者可以以调用应用程序的权限运行任意代码，这使得攻击者能够安装程序、修改或删除数据，甚至根据用户的权限创建新账户。相关信息已在
中发布。

为禁用 MSDT URL 协议，Microsoft 建议用户执行以下步骤：

• 以管理员身份运行命令提示符。
• 备份注册表键，执行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename。
• 执行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f。

Microsoft 还表示，启用 Defender Antivirus 的客户应开启云保护和自动样本提交功能，而使用 Defender forEndpoint 的客户可以启用攻击面减少规则“BlockOfficeCreateProcessRule”，以阻止 Office 应用程序创建子进程。

于周二发布了关于 Follina 的警报，呼吁用户和管理员应用必要的解决方法以提高安全性。