Ir para conteúdo

Alerta de Vulnerabilidades - Microsoft Support Diagnostic Tool (MSDT)

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Windows 7, 8.1, 10 e 11; Windows Server 2008, 2012, 2016, 2019 e 2022
ECOSSISTEMA
Microsoft, Windows
Descrição

A Microsoft publicou medidas de mitigação para a vulnerabilidade de Execução de Código Remoto (RCE), apelidada "Follina", que existe quando a Microsoft Support Diagnostic Tool (MSDT) é chamada usando o protocolo URL a partir de uma aplicação, tal como o Microsoft Office Word. 
Esta vulnerabilidade afeta todas as versões do Windows que ainda recebem atualizações de segurança (Windows 7, Windows 8.1, Windows 10, Windows 11, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019 e Windows Server 2022) e é possível explorar a partir das versões do Microsoft Office 2013, 2016, 2019 e 2021 e Office Professional Plus, mesmo com macros desativadas, bem como de qualquer aplicação que recorra ao MSDT.
Esta vulnerabilidade está a ser ativamente explorada.

 

Impacto

Caso esta vulnerabilidade seja explorada com sucesso, permite a um atacante a execução de código arbitrário com os privilégios da aplicação de chamada (execução de comandos PowerShell maliciosos). Além disso, permite instalar programas, visualizar, alterar ou eliminar ficheiros e criar novas contas de acordo com as permissões do utilizador.

 

Resolução

Ainda não existe atualização de segurança para corrigir esta vulnerabilidade, no entanto é possível aplicar medidas de mitigação:

  • Desativar o protocolo URL MSDT. Os passos estão descritos em [2].

Depois da Microsoft publicar a atualização de segurança, é possível desfazer esta medida. Também descrita em [2].

  • O Microsoft Defender Antivirus na versão 1.367.719.0 (ou mais recente) já consegue detetar possíveis explorações desta vulnerabilidade:
    • Trojan:Win32/Mesdetty.A
    • Trojan:Win32/Mesdetty.B
    • Behavior:Win32/MesdettyLaunch.A
    • Behavior:Win32/MesdettyLaunch.B
    • Behavior:Win32/MesdettyLaunch.C

Para além disto, é recomendado desativar o painel de pré-visualização (preview pane) no Windows Explorer, de forma a remover também este vetor de ataque.

 

Referências

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190#securityUpdates

[2] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[3] https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-office-zero-day-exploited-in-attacks/ 

[4] https://www.securityweek.com/microsoft-confirms-exploitation-follina-zero-day-vulnerability 

Última atualização em 13-12-2020