{"id":3520,"date":"2022-06-09T21:11:03","date_gmt":"2022-06-09T20:11:03","guid":{"rendered":"https:\/\/sajberinfo.com\/2022\/11\/21\/text-61\/"},"modified":"2022-12-04T11:03:04","modified_gmt":"2022-12-04T10:03:04","slug":"follina-aktivna-microsoft-ranjivost","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2022\/06\/09\/follina-aktivna-microsoft-ranjivost\/","title":{"rendered":"Follina: Aktivna Microsoft ranjivost"},"content":{"rendered":"

Ranjivost ozna\u010dena kao CVE-2022-30190<\/em> koja je dobila kodni naziv Follina<\/em>, <\/i>zvani\u010dno je registrovana 30. maja ove godine kao ranjivost nultnog dana, koja podr\u017eava daljinsko izvr\u0161avanje komandi u Microsoft<\/em> alatu za diagnostiku MSDT- Microsoft Windows Support Diagnostic Tool<\/em>. Ovo je jo\u0161 uvije aktivna ranjivost, bez dostupnog a\u017euriranja koja je ozna\u010dena ocjenom 7.8 ili veoma ozbiljna u bazi NVD – National Vulnerability Database<\/em><\/a>. Postoje saznanja da je korisnik Windows<\/em> operativnog poku\u0161avao 22 mjeseca da prijavi ovu ranjivost<\/a>, ali je bio zanemaren.<\/span><\/span><\/p>\n

\"CVE-2022-30190

Image by Darwin Laganzon<\/em><\/a> from Pixabay<\/em><\/a>; Edit by Sasa Djuric<\/p><\/div>\n

Ovo je potpuno nova ranjivost koja do sada nije bila kori\u0161tena i za nju ne postoji dostupno a\u017euriranje sa danom ove objave. Ranjivost Follina<\/em> iskor\u0161tava funkcionalnost Microsoft Office Word<\/em> aplikacije i njenih \u0161ablona na udaljenom serveru, omogu\u0107avaju\u0107i preuzimanje HTML<\/em> dokumenta sa udaljenog servera, prilikom \u010dega se mo\u017ee izvr\u0161iti PowerShell<\/em> ili neka druga skripta. Ranjivost ima veliki uticaj na \u201cobi\u010dne<\/em>\u201d korisnike koji su korisnici Windows<\/em> operativnog sistema i koji urade pregled, otvaranje ili preuzimanje posebno pripremljenog Word<\/em> dokumenta. Korisnici su do sada izbjegavali infekciju preko Word<\/em> dokumenata otvaranjem u Protected Mode<\/em> re\u017eimu, ali on nema uticaja na ovu ranjivost, tako da napada\u010di koriste MSDT<\/em> da dobiju daljniski pristup i izvr\u0161avaju pokretanje proizvoljnog k\u00f4da na napadnutim ure\u0111ajima. Sve verzije operativnog sistema Windows<\/em> imaju MSDT<\/em> i pogo\u0111ene su ovom ranjivo\u0161\u0107u, uklju\u010duju\u0107i i Windows 11<\/em>.<\/span><\/span><\/p>\n

Napad na korisnika obi\u010dno zapo\u010dinje preko elektronske po\u0161te kori\u0161tenjem phishing<\/i><\/a>-a. Korisnik dobija elektronsku po\u0161tu sa prilogom Word <\/em>dokumenta. On mo\u017ee da izvr\u0161i\u00a0 pregled, otvaranje ili preuzimanje Word <\/em>dokumenta u prilogu. Dolazi do pokretanja MSDT<\/em> prozora za rje\u0161avanje problema, koji upozorava na kompatibilnost, ali tada je ve\u0107 kasno. Dok je MSDT<\/em> alat pokrenut, Word<\/em> dokument koristi upravlja\u010d protokola da kontaktira vanjsku referencu sa HTML<\/em> zlonamjernim sadr\u017eajem. Nakon toga dolazi do pokretanja k\u00f4da na ure\u0111aju koji omogu\u0107ava napada\u010du direktni pristup i pro\u0161iruje njegove mogu\u0107nosti pokretanja novih skripti na ure\u0111aju korisnika.<\/span><\/span><\/p>\n

Sigurnosna kompanija Proofpoint<\/em> je otkrila napad povezan sa kriminalnom grupom ozna\u010denom kao TA570<\/em> koja koristi ovu ranjivost da isporu\u010di Qbot <\/em>zlonamjerni softver specijalizovan za kra\u0111u korisni\u010dkih informacija. Sigurnosni tim Symantec<\/em> je otkrio da napada\u010di iskori\u0161tavaju ovu ranjivost da isporu\u010de AsyncRAT<\/em>, zlonmajerni softver koji im omogu\u0107ava daljinsku kontrolu nad korisni\u010dkim ure\u0111ajem. <\/span><\/span><\/span><\/p>\n

Dok ne bude dostupno sistemsko a\u017euriranje koje \u0107e ispraviti ovu ranjivost, korisnicima se preporu\u010duj da onemogu\u0107e MSDT URL<\/em> protokol, \u0161to \u0107e onemogu\u0107iti da pokrenuti MSDT<\/em> alat kontaktira vanjsku referencu sa HTML<\/em> zlonamjernim sadr\u017eajem.\u00a0 Kompanija Microsoft<\/em> je objavila uputstvo<\/a> na koji se na\u010din ovo mo\u017ee uraditi:<\/span><\/span><\/p>\n

 <\/p>\n

1. Pokrenuti Command Prompt <\/b><\/em>kao Administrator<\/b><\/em>.<\/span><\/span><\/p>\n

2. Napraviti rezervnu kopiju registr klju\u010da pokretanjem komande:<\/span><\/span><\/p>\n

\u201creg export HKEY_CLASSES_ROOTms-msdt filename<\/em>\u201c<\/span><\/span><\/p>\n

3. Nakon toga obrisati klju\u010d u registrima pokretanjem komande:<\/span><\/span><\/p>\n

\u201creg delete HKEY_CLASSES_ROOTms-msdt \/f<\/em>\u201d<\/span><\/span><\/p>\n

 <\/p>\n

U slu\u010daju potrebe, obrisani klju\u010d je mogu\u0107e vratiti koriste\u0107i napravljenu rezervnu kopiju na sljede\u0107i na\u010din:<\/span><\/span><\/p>\n

1. Pokrenuti Command Prompt <\/b><\/em>kao Administrator<\/b><\/em>.<\/span><\/span><\/p>\n

2. Pokrenuti komandu:<\/span><\/span><\/p>\n

\u201creg import filename<\/em>\u201d<\/span><\/span><\/p>","protected":false},"excerpt":{"rendered":"

Ranjivost ozna\u010dena kao CVE-2022-30190 koja je dobila kodni naziv Follina, zvani\u010dno je registrovana 30. maja ove godine kao ranjivost nultnog dana, koja podr\u017eava daljinsko izvr\u0161avanje komandi u Microsoft alatu za diagnostiku MSDT- Microsoft Windows...<\/p>","protected":false},"author":1,"featured_media":3690,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[175,130,176,64,126],"class_list":["post-3520","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cve","tag-microsoft","tag-microsoft-office-word","tag-sajber-prijetnja","tag-vulnerability"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/3520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=3520"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/3520\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/3690"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=3520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=3520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=3520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}