Lo strumento di diagnostica di Windows sotto attacco, disponibile patch non ufficiale

Nelle scorse ore è emersa una nuova vulnerabilità che riguarda il Microsoft Support Diagnostic Tool (MSDT) di Windows.

1 GIUGNO 2022 | Dopo la scoperta della vulnerabilità nei giorni scorsi, il team di 0patch ha rilasciato una patch non ufficiale per correggere la falla – trovate maggiori dettagli a questo indirizzo.

 0patch ha appena rilasciato una micropatch gratuita per lo 0day attualmente “più caldo”, ovvero la vulnerabilità “Follina”, che consente a un utente malintenzionato di prendere il controllo del computer di un utente Windows facendo in modo che l’utente apra un documento di Word. Questa vulnerabilità attualmente non ha una correzione ufficiale del fornitore, sebbene Microsoft le abbia assegnato l’ID CVE CVE-2022-30190.

Tool di diagnostica di Windows vulnerabile

La nuova vulnerabilità rinominata Follina riguarda lo strumento di Windows utilizzato dal supporto Microsoft per effettuare la diagnostica del PC in caso di necessità. Nello specifico, si tratta di una falla che permette l’esecuzione di codice malevolo in remoto sfruttando il protocollo URL da un documento di Office. Microsoft ha pubblicato un avviso di sicurezza con i dettagli della vulnerabilità CVE-2020-30190, con gli scenari del possibile sfruttamento dell’exploit da parte di utenti malintenzionati.

Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota quando MSDT viene chiamato utilizzando il protocollo URL da un’applicazione chiamante come Word. Un utente malintenzionato che sfrutti con successo questa vulnerabilità può eseguire codice arbitrario con i privilegi dell’applicazione chiamante. L’autore dell’attacco può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai diritti dell’utente.

La vulnerabilità non sarebbe ancora stata risolta, tuttavia Microsoft ha pubblicato una soluzione temporanea che consiste nel disabilitare il protocollo URL di MSDT.

Per disabilitare il protocollo URL MSDT

La disabilitazione del protocollo URL MSDT impedisce l’avvio di strumenti di risoluzione dei problemi come collegamenti, inclusi i collegamenti in tutto il sistema operativo. È ancora possibile accedere agli strumenti di risoluzione dei problemi utilizzando l’applicazione Aiuto e nelle impostazioni di sistema come altri o ulteriori strumenti di risoluzione dei problemi. Segui questi passaggi per disabilitare:

1. Esegui il prompt dei comandi come amministratore.
2. Per eseguire il backup della chiave di registro, eseguire il comando “reg export HKEY_CLASSES_ROOT\ms-msdt filename“.
3. Eseguire il comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Come annullare la soluzione alternativa

1. Esegui il prompt dei comandi come amministratore.
2. Per eseguire il backup della chiave di registro, eseguire il comando “reg import filename“.

Cosa ne pensate di questa vulnerabilità? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2