Microsoft ha riconosciuto una vulnerabilità critica zero-day in Windows che interessa tutte le versioni principali, inclusi Windows 11, Windows 10, Windows 8.1 e persino Windows 7. La vulnerabilità, identificata con il tracker CVE-2022-30190 o Follina, consente agli aggressori di eseguire in remoto malware su Windows senza attivare Windows Defender o altri software di sicurezza. Fortunatamente, Microsoft ha condiviso una soluzione ufficiale per mitigare il rischio. In questo articolo, abbiamo dettagliato i passaggi per proteggere i tuoi PC Windows 11/10 dall’ultima vulnerabilità zero-day.
Sommario:
Correzione della vulnerabilità zero-day di Windows MSDT “Follina” (giugno 2022)
Che cos’è la vulnerabilità di Follina MSDT Windows Zero-Day (CVE-2022-30190)?
Prima di passare ai passaggi per correggere la vulnerabilità, cerchiamo di capire in cosa consiste l’exploit. Conosciuto con il codice tracker CVE-2022-30190, l’exploit zero-day è collegato a Microsoft Support Diagnostic Tool (MSDT). Con questo exploit, gli aggressori possono eseguire in remoto i comandi di PowerShell tramite MSDT quando aprono documenti di Office dannosi.
“Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota quando MSDT viene chiamato utilizzando il protocollo URL da un’applicazione chiamante come Word. Un utente malintenzionato che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell’applicazione chiamante. L’attaccante può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai diritti dell’utente”, spiega Microsoft.
Come spiega il ricercatore Kevin Beaumont, l’attacco utilizza la funzione di modello remoto di Word per recuperare un file HTML da un server Web remoto. Quindi usa lo schema URI ms-msdt MSProtocol per caricare il codice ed eseguire i comandi di PowerShell. Come nota a margine, l’exploit ha preso il nome “Follina” perché il file di esempio fa riferimento a 0438, il prefisso di Follina, in Italia.
A questo punto, ti starai chiedendo perché la Visualizzazione protetta di Microsoft non impedirà al documento di aprire il collegamento. Bene, questo perché l’esecuzione potrebbe avvenire anche oltre l’ambito di Protected View. Come ha evidenziato il ricercatore John Hammond su Twitter, il collegamento potrebbe essere eseguito direttamente dal riquadro di anteprima di Explorer come file Rich Text Format (.rtf).
Secondo il rapporto di ArsTechnica, i ricercatori dello Shadow Chaser Group avevano portato la vulnerabilità all’attenzione di Microsoft già il 12 aprile. Sebbene Microsoft abbia risposto una settimana dopo, la società sembra averla respinta poiché non potevano replicare lo stesso da parte loro. Tuttavia, la vulnerabilità è ora contrassegnata come zero-day e Microsoft consiglia di disabilitare il protocollo URL MSDT come soluzione alternativa per proteggere il PC dall’exploit.
Il mio PC Windows è vulnerabile all’exploit di Follina?
Nella pagina della guida all’aggiornamento della sicurezza, Microsoft ha elencato 41 versioni di Windows vulnerabili alla vulnerabilità Follina CVE-2022-30190. Include Windows 7, Windows 8.1, Windows 10, Windows 11 e persino le edizioni di Windows Server. Dai un’occhiata all’elenco completo delle versioni interessate di seguito:
- Windows 10 versione 1607 per sistemi a 32 bit
- Windows 10 versione 1607 per sistemi basati su x64
- Windows 10 versione 1809 per sistemi a 32 bit
- Windows 10 versione 1809 per sistemi basati su ARM64
- Windows 10 versione 1809 per sistemi basati su x64
- Windows 10 versione 20H2 per sistemi a 32 bit
- Windows 10 versione 20H2 per sistemi basati su ARM64
- Windows 10 versione 20H2 per sistemi basati su x64
- Windows 10 versione 21H1 per sistemi a 32 bit
- Windows 10 versione 21H1 per sistemi basati su ARM64
- Windows 10 versione 21H1 per sistemi basati su x64
- Windows 10 versione 21H2 per sistemi a 32 bit
- Windows 10 versione 21H2 per sistemi basati su ARM64
- Windows 10 versione 21H2 per sistemi basati su x64
- Windows 10 per sistemi a 32 bit
- Windows 10 per sistemi basati su x64
- Windows 11 per sistemi basati su ARM64
- Windows 11 per sistemi basati su x64
- Windows 7 per sistemi a 32 bit Service Pack 1
- Windows 7 per sistemi basati su x64 Service Pack 1
- Windows 8.1 per sistemi a 32 bit
- Windows 8.1 per sistemi basati su x64
- Windows RT 8.1
- Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
- Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
- Windows Server 2008 per sistemi a 32 bit Service Pack 2
- Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
- Windows Server 2008 per sistemi basati su x64 Service Pack 2
- Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core)
- Windows Server 2012
- Windows Server 2012 (installazione Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (installazione Server Core)
- Windows Server 2016
- Windows Server 2016 (installazione Server Core)
- Windows Server 2019
- Windows Server 2019 (installazione Server Core)
- Windows Server 2022
- Windows Server 2022 (installazione Server Core)
- Hotpatch principale di Windows Server 2022 Azure Edition
- Windows Server, versione 20H2 (Installazione Server Core)
Disabilita il protocollo URL MSDT per proteggere Windows dalla vulnerabilità di Follina
1. Premi il tasto Win sulla tastiera e digita “Cmd” o “Prompt dei comandi”. Quando viene visualizzato il risultato, scegli “Esegui come amministratore” per aprire una finestra del prompt dei comandi con privilegi elevati.
2. Prima di modificare il registro, utilizzare il comando seguente per eseguire un backup. In questo modo, puoi scegliere di ripristinare il protocollo una volta che Microsoft avrà distribuito una patch ufficiale. Qui, il percorso del file si riferisce alla posizione in cui si desidera salvare il file di backup .reg.
reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
3. È ora possibile eseguire il comando seguente per disabilitare il protocollo URL MSDT. In caso di successo, vedrai il testo “Operazione completata con successo” nella finestra del prompt dei comandi.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. Per ripristinare il protocollo in un secondo momento, dovrai utilizzare il backup del registro eseguito nel secondo passaggio. Esegui il comando seguente e avrai nuovamente accesso al protocollo URL MSDT.
reg import <file_path.reg>
Proteggi il tuo PC Windows dalla vulnerabilità zero-day di Windows MSDT
Quindi, questi sono i passaggi che devi seguire per disabilitare il protocollo URL MSDT sul tuo PC Windows per prevenire l’exploit di Follina. Fino a quando Microsoft non distribuirà una patch di sicurezza ufficiale per tutte le versioni di Windows, puoi utilizzare questa pratica soluzione alternativa per rimanere protetto dalla vulnerabilità zero-day CVE-2022-30190 Windows Follina MSDT. Parlando di protezione del PC da programmi dannosi, potresti anche considerare l’installazione di strumenti di rimozione malware o software antivirus dedicati per proteggerti da altri virus.