أقرت Microsoft بوجود ثغرة أمنية خطيرة في يوم الصفر في Windows الذي يؤثر على جميع الإصدارات الرئيسية ، بما في ذلك Windows 11 ، Windows 10 ، Windows 8.1 وحتى Windows 7. الثغرة الأمنية ، التي تم تحديدها باستخدام أداة تعقب CVE-2022-30190 أو Follina ، تسمح للمهاجمين بتنفيذ برامج ضارة عن بُعد على Windows دون إثارة Windows المدافع أو برامج الأمان الأخرى. لحسن الحظ ، شاركت Microsoft حلاً رسميًا للتخفيف من المخاطر. في هذه المقالة ، قمنا بتفصيل الخطوات اللازمة لحماية Windows 11/10 أجهزة كمبيوتر من أحدث ثغرة يوم الصفر.
إصلاح “Follina” MSDT Windows ثغرة يوم الصفر (يونيو 2022)
ما هو Follina MSDT Windows يوم الصفر (CVE-2022-30190)
قبل أن نصل إلى خطوات إصلاح الثغرة الأمنية ، دعونا نفهم ما هو كل شيء عن الاستغلال. المعروف برمز التعقب CVE-2022-30190 ، أن استغلال يوم الصفر مرتبط بأداة تشخيص دعم Microsoft (MSDT). يسمح هذا الاستغلال للمهاجمين بتنفيذ أوامر PowerShell عن بُعد عبر MSDT عند فتح مستندات Office ضارة.
توجد ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد عندما يتم استدعاء MSDT باستخدام بروتوكول URL من تطبيق استدعاء مثل Word. يمكن للمهاجم الذي يستغل هذه الثغرة الأمنية بنجاح تنفيذ تعليمات برمجية عشوائية بامتيازات برنامج الاستدعاء. يمكن للمهاجم بعد ذلك تثبيت البرامج أو عرض البيانات أو تغييرها أو حذفها أو إنشاء حسابات جديدة في السياق الذي تسمح به حقوق المستخدم “، توضح Microsoft.
كما يوضح الباحث كيفن بومونت ، يستخدم الهجوم ميزة القالب البعيد لبرنامج Word لاسترداد ملف HTML من خادم ويب بعيد. ثم يستخدم نظام ms-msdt MSProtocol URI لتحميل الكود وتشغيل أوامر PowerShell. كملاحظة جانبية ، تم تسمية الاستغلال بـ “Follina” لأن نموذج الملف يشير إلى 0438 ، رمز المنطقة لـ Follina ، إيطاليا.
في هذه المرحلة ، قد تتساءل عن سبب عدم قيام طريقة العرض المحمية من Microsoft بمنع المستند من فتح الرابط. حسنًا ، هذا لأن التنفيذ يمكن أن يحدث حتى خارج نطاق العرض المحمي. كما أوضح الباحث جون هاموند Twitter، يمكن تشغيل الارتباط مباشرة من نافذة معاينة المستكشف كملف Rich Text Format (.rtf).
وفقًا لتقرير ArsTechnica ، قام الباحثون في Shadow Chaser Group بتنبيه Microsoft إلى الثغرة الأمنية في وقت مبكر من 12 أبريل. على الرغم من استجابة Microsoft بعد أسبوع ، يبدو أن الشركة رفضتها لأنها لم تكن قادرة على تكرار الأمر نفسه من جانبها. على الرغم من ذلك ، يتم الآن وضع علامة على الثغرة الأمنية على أنها نقطة الصفر ، وتوصي Microsoft بتعطيل بروتوكول MSDT URL كحل بديل لحماية جهاز الكمبيوتر الخاص بك من الاستغلال.
هو ملكي Windowsجهاز كمبيوتر عرضة لاستغلال Follina؟
في صفحة دليل تحديث الأمان الخاصة بها ، قامت Microsoft بإدراج 41 إصدارًا من Windows التي تكون عرضة للثغرة الأمنية Follina CVE-2022-30190. ويشمل Windows 7 ، Windows 8.1 ، Windows 10 ، Windows 11 وحتى Windows إصدارات الخادم. تحقق من القائمة الكاملة للإصدارات المتأثرة أدناه:
تعطيل بروتوكول MSDT URL للحماية Windows من ضعف فولينا
1. اضغط على مفتاح Win بلوحة المفاتيح واكتب “Cmd” أو “موجه الأوامر”. عندما تظهر النتيجة ، حدد “تشغيل كمسؤول” لفتح نافذة موجه أوامر غير مقيد.
2. قبل تعديل السجل ، استخدم الأمر أدناه لأخذ نسخة احتياطية. بهذه الطريقة ، يمكنك اختيار إعادة تعيين البروتوكول عندما تطرح Microsoft تصحيحًا رسميًا. هنا ، يشير مسار الملف إلى الموقع حيث تريد حفظ ملف النسخ الاحتياطي .reg.
ريج تصدير HKEY_CLASSES_ROOTms-msdt
3. يمكنك الآن تشغيل الأمر التالي لتعطيل بروتوكول MSDT URL. إذا نجحت ، فسترى النص “اكتملت العملية بنجاح” في نافذة موجه الأوامر.
reg حذف HKEY_CLASSES_ROOTms-msdt / f
4. لاستعادة البروتوكول لاحقًا ، يجب استخدام النسخة الاحتياطية للتسجيل التي قمت بإنشائها في الخطوة الثانية. قم بتشغيل الأمر أدناه للوصول إلى بروتوكول MSDT URL مرة أخرى.
ريج الاستيراد
حماية لك Windowsكمبيوتر من MSDT Windows ثغرة يوم الصفر
هذه هي الخطوات التي يجب عليك اتباعها لتعطيل بروتوكول MSDT URL على ملف Windowsالكمبيوتر لمنع استغلال Follina. حتى تطرح Microsoft تصحيحًا أمنيًا رسميًا لجميع إصدارات Windows يمكنك استخدام هذا الحل للبقاء محميًا من CVE-2022-30190 Windows ثغرة يوم الصفر في Follina MSDT. عند الحديث عن حماية جهاز الكمبيوتر الخاص بك من البرامج الضارة ، قد تفكر أيضًا في تثبيت أدوات مخصصة لإزالة البرامج الضارة أو برامج مكافحة الفيروسات لحماية نفسك من الفيروسات الأخرى.