Follina: onofficiële patch beschikbaar voor Windows zero-day-kwetsbaarheid
Een aanvaller kan kwaadaardige code uitvoeren via PowerShell. Hackers maken al actief misbruik van de kwetsbaarheid. Microsoft biedt ook een alternatieve oplossing.
Wat betreft de zero-day exploit van Windows, die sinds het einde van de week bekend is en nu actief door hackers wordt uitgebuit, is nu onofficiële patch. Het is ontworpen om te voorkomen dat aanvallers PowerShell-opdrachten kunnen uitvoeren op een volledig gepatcht Windows-systeem met weinig gebruikersinteractie. Microsoft biedt ook een bestand aan De oplossing Wat echter leidt tot functionele beperkingen.
Volgens Microsoft zit de kwetsbaarheid met de naam Follina in de Microsoft Support Diagnostic Tool (MSDT). Als een toepassing zoals Word het URL-protocol aanroept, kan een aanvaller willekeurige code uitvoeren met de privileges van de aanroepende toepassing. Volgens Microsoft is het mogelijk om programma’s te installeren, gegevens te bekijken of zelfs te verwijderen en zelfs nieuwe gebruikersaccounts aan te maken.
De onofficiële patch is ontwikkeld door beveiligingsprovider 0Patch. Het zou veel gemakkelijker zijn om msdt.exe uit te schakelen door TerminateProcess() aan te roepen. Dit kan de Windows Diagnostische Assistent echter onbruikbaar maken, zelfs voor niet-Office-toepassingen. Een andere optie zou kunnen zijn om de aanbeveling van Microsoft te patchen, waarbij Effectief omgaan met de ms-msdt wordt uitgeschakeld :URL-protocol Maar als dat mogelijk is, willen we de bijwerkingen minimaliseren”, schreef CEO Mitja Kulcik in een blogbericht.
Microsoft raadt aan het URL-protocol uit te schakelen
Daarom is niet het uitvoerbare bestand msdt.exe diagnostische service gepatcht, maar het bestand sdiagnhost.exe. Voordat RunScript wordt aangeroepen, controleert 0Patch of het door de gebruiker opgegeven pad een tekenreeks bevat die op zijn beurt vereist is om PowerShell-code uit te voeren. Als dit wordt gedetecteerd, zorgt de patch ervoor dat de “RunScript”-aanroep wordt genegeerd – zonder de eigenlijke diagnostische tool te beïnvloeden.
Microsoft stelt echter voor om het MSDT URL-protocol uit te schakelen totdat er een officiële update beschikbaar is. In een blogbericht beschrijft het bedrijf hoe dit kan worden geïmplementeerd door de registratiedatabase te wijzigen – en hoe dit kan worden teruggedraaid.
Het is echter niet duidelijk wanneer Microsoft het beveiligingslek zal dichten. De volgende correctiedag vindt plaats op 14 juni. Microsoft kan echter ook een patch leveren die niet eerder is gepland.
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”