Microsoft ha riconosciuto una vulnerabilità critica zero-day in Windows che interessa tutte le versioni principali, inclusi Windows 11, Windows 10, Windows 8.1 e persino Windows 7. La vulnerabilità, identificata con il tracker CVE-2022-30190 o Follina, consente agli aggressori di eseguire in remoto malware su Windows senza attivare Windows Defender o altri software di sicurezza. Fortunatamente, Microsoft ha condiviso una soluzione alternativa ufficiale per mitigare il rischio. In questo articolo, abbiamo dettagliato i passaggi per proteggere i tuoi PC Windows 11/10 dall’ultima vulnerabilità zero-day.
Correzione della vulnerabilità zero-day di Windows MSDT “Follina” (giugno 2022)
Sommario
Che cos’è la vulnerabilità Follina MSDT Windows Zero-Day (CVE-2022-30190)?
Se volete continuare a leggere questo post su "Come risolvere la vulnerabilità zero-day di Microsoft “Follina” MSDT Windows" cliccate sul pulsante "Mostra tutti" e potrete leggere il resto del contenuto gratuitamente. ebstomasborba.pt è un sito specializzato in Tecnologia, Notizie, Giochi e molti altri argomenti che potrebbero interessarvi. Se desiderate leggere altre informazioni simili a Come risolvere la vulnerabilità zero-day di Microsoft “Follina” MSDT Windows, continuate a navigare sul web e iscrivetevi alle notifiche del blog per non perdere le ultime novità.
Prima di arrivare ai passaggi per correggere la vulnerabilità, capiamo di cosa tratta l’exploit. Conosciuto con il codice tracker CVE-2022-30190, l’exploit zero-day è collegato al Microsoft Support Diagnostic Tool (MSDT). Con questo exploit, gli aggressori possono eseguire in remoto i comandi di PowerShell tramite MSDT durante l’apertura di documenti di Office dannosi.
“Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota quando MSDT viene chiamato utilizzando il protocollo URL da un’applicazione chiamante come Word. Un utente malintenzionato che riesce a sfruttare questa vulnerabilità può eseguire codice arbitrario con i privilegi dell’applicazione chiamante. L’aggressore può quindi installare programmi, visualizzare, modificare o eliminare dati o creare nuovi account nel contesto consentito dai diritti dell’utente”, spiega Microsoft.
Come spiega il ricercatore Kevin Beaumont, l’attacco utilizza la funzione modello remoto di Word per recuperare un file HTML da un server Web remoto . Utilizza quindi lo schema URI MSProtocol ms-msdt per caricare il codice ed eseguire i comandi di PowerShell. Come nota a margine, l’exploit ha preso il nome di “Follina” perché il file di esempio fa riferimento a 0438, il prefisso di Follina, in Italia.
A questo punto, ti starai chiedendo perché la visualizzazione protetta di Microsoft non impedirà al documento di aprire il collegamento. Bene, questo perché l’esecuzione potrebbe avvenire anche oltre l’ambito di Protected View. Come ha sottolineato il ricercatore John Hammond su Twitter, il collegamento potrebbe essere eseguito direttamente dal riquadro di anteprima di Explorer come file Rich Text Format (.rtf).
Secondo il rapporto di ArsTechnica , i ricercatori di Shadow Chaser Group avevano portato la vulnerabilità all’attenzione di Microsoft già il 12 aprile. Sebbene Microsoft abbia risposto una settimana dopo, la società sembra aver respinto la questione perché non poteva replicare lo stesso da parte sua. Tuttavia, la vulnerabilità è ora contrassegnata zero-day e Microsoft consiglia di disabilitare il protocollo URL MSDT come soluzione alternativa per proteggere il PC dall’exploit.
Il mio PC Windows è vulnerabile all’exploit di Follina?
Nella sua pagina della guida all’aggiornamento della sicurezza, Microsoft ha elencato 41 versioni di Windows che sono vulnerabili alla vulnerabilità Follina CVE-2022-30190. Include Windows 7, Windows 8.1, Windows 10, Windows 11 e persino le edizioni di Windows Server. Consulta l’elenco completo delle versioni interessate di seguito:
- Windows 10 versione 1607 per sistemi a 32 bit
- Windows 10 versione 1607 per sistemi basati su x64
- Windows 10 versione 1809 per sistemi a 32 bit
- Windows 10 versione 1809 per sistemi basati su ARM64
- Windows 10 versione 1809 per sistemi basati su x64
- Windows 10 versione 20H2 per sistemi a 32 bit
- Windows 10 versione 20H2 per sistemi basati su ARM64
- Windows 10 versione 20H2 per sistemi basati su x64
- Windows 10 versione 21H1 per sistemi a 32 bit
- Windows 10 versione 21H1 per sistemi basati su ARM64
- Windows 10 versione 21H1 per sistemi basati su x64
- Windows 10 versione 21H2 per sistemi a 32 bit
- Windows 10 versione 21H2 per sistemi basati su ARM64
- Windows 10 versione 21H2 per sistemi basati su x64
- Windows 10 per sistemi a 32 bit
- Windows 10 per sistemi basati su x64
- Windows 11 per sistemi basati su ARM64
- Windows 11 per sistemi basati su x64
- Windows 7 per sistemi a 32 bit Service Pack 1
- Windows 7 per sistemi basati su x64 Service Pack 1
- Windows 8.1 per sistemi a 32 bit
- Windows 8.1 per sistemi basati su x64
- Windows RT 8.1
- Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
- Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
- Windows Server 2008 per sistemi a 32 bit Service Pack 2
- Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core)
- Windows Server 2008 per sistemi basati su x64 Service Pack 2
- Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core)
- Windows Server 2012
- Windows Server 2012 (installazione Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (installazione Server Core)
- Server Windows 2016
- Windows Server 2016 (installazione Server Core)
- Server Windows 2019
- Windows Server 2019 (installazione Server Core)
- Windows Server 2022
- Windows Server 2022 (installazione Server Core)
- Windows Server 2022 Azure Edition Core Hotpatch
- Windows Server, versione 20H2 (installazione dei componenti di base del server)
Disabilita il protocollo URL MSDT per proteggere Windows dalla vulnerabilità di Follina
1. Premi il tasto Win sulla tastiera e digita “Cmd” o “Prompt dei comandi”. Quando viene visualizzato il risultato, scegli “Esegui come amministratore” per aprire una finestra del prompt dei comandi con privilegi elevati. 
2. Prima di modificare il registro, utilizzare il comando seguente per eseguire un backup. In questo modo, puoi scegliere di ripristinare il protocollo una volta che Microsoft ha rilasciato una patch ufficiale. Qui, il percorso del file si riferisce alla posizione in cui si desidera salvare il file di backup .reg.
reg export HKEY_CLASSES_ROOTms-msdt
3. È ora possibile eseguire il seguente comando per disabilitare il protocollo URL MSDT. In caso di successo, vedrai il testo “L’operazione è stata completata con successo” nella finestra del prompt dei comandi.
reg eliminare HKEY_CLASSES_ROOTms-msdt /f
4. Per ripristinare il protocollo in un secondo momento, sarà necessario utilizzare il backup del registro eseguito nel secondo passaggio. Esegui il comando seguente e avrai nuovamente accesso al protocollo URL MSDT.
reg import
Proteggi il tuo PC Windows dalla vulnerabilità MSDT Windows Zero-Day
Quindi, questi sono i passaggi che devi seguire per disabilitare il protocollo URL MSDT sul tuo PC Windows per prevenire l’exploit di Follina. Fino a quando Microsoft non distribuirà una patch di sicurezza ufficiale per tutte le versioni di Windows, puoi utilizzare questa comoda soluzione alternativa per rimanere protetto dalla vulnerabilità zero-day CVE-2022-30190 Windows Follina MSDT. Parlando di proteggere il tuo PC da programmi dannosi, potresti anche prendere in considerazione l’installazione di strumenti di rimozione malware dedicati o software antivirus per stare al sicuro da altri virus.
