本周曝光的 Follina 零日漏洞,一旦設備感染之後就可以在受害者計算機上遠程執行代碼。雖然微軟在數周前已承認存在該漏洞,但是微軟至今尚未發布有效的漏洞修復補丁,只是提供了比較詳細的解決方案。所幸的是,第三方公司提供了相關的補丁。
微補丁公司 0patch 已針對 Windows 11、Windows 10、Windows 7 和 Windows Server 2008 R2 發布了針對該漏洞的免費修復程序,該漏洞被跟蹤為 CVE-2022-30190,存在於 Microsoft Windows 支持診斷工具 ( MSDT) Windows 組件中。
目前微軟官方提供的解決方案可謂“簡單粗暴”,就是禁用有問題的組件;而 0patch 則提供了更微妙的方法。在一篇關於微補丁的博客文章中,Mitja Kolsek 的 0patch 說:
對我們來說,通過使用 TerminateProcess() 調用修補它來禁用 msdt.exe 是迄今為止最簡單的方法。但是,這會使 Windows 診斷嚮導無法運行,即使對於非 Office 應用程序也是如此。另一種選擇是將微軟的建議編入補丁,有效地禁用 ms-msdt: URL 協議處理程序。
但如果可能,我們希望盡量減少除漏洞之外的影響,因此我們決定在調用 RunScript 之前將補丁放在 sdiagnhost.exe 中,並檢查用戶提供的路徑是否包含“$(”序列 – 這是必要的用於注入 PowerShell 子表達式。如果檢測到,我們確保在診斷工具繼續運行時繞過 RunScript 調用。
無論您安裝了哪個版本的 Office,或者您是否安裝了 Office,該漏洞也可能通過其他攻擊媒介被利用。這就是為什麼我們還修補了 Windows 7,其中ms-msdt:根本沒有註冊 URL 處理程序
0patch 提供的補丁適用於以下系統,甚至還包括已經停止支持的 Windows 7 系統:
● Windows 11 v21H2
● Windows 10 v21H2
● Windows 10 v21H1
● Windows 10 v20H2
● Windows 10 v2004
● Windows 10 v1909
● Windows 10 v1903
● Windows 10 v1809
● Windows 10 v1803
● Windows 7
● Windows Server 2008 R2