CVE-2022-30190

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-14

Официальное описание

A remote code execution vulnerability exists when MSDT is called using the URL protocol from a calling application such as Word. An attacker who successfully exploits this vulnerability can run code with the privileges of the calling application.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-30190 (известная как "Follina") — это критическая уязвимость удаленного выполнения кода (RCE) в инструменте диагностики поддержки Microsoft (MSDT). Проблема заключается в механизме обработки URL-протоколов: злоумышленник может отправить специально подготовленный документ Office (например, Word) или файл в формате RTF, который при открытии использует схему ms-msdt:/ для загрузки и выполнения произвольного кода PowerShell.

Опасность заключается в том, что для эксплуатации не требуются макросы. В случае с файлами RTF выполнение кода может произойти даже через панель предварительного просмотра в проводнике Windows (Preview Pane), без непосредственного открытия файла пользователем.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft.

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите все доступные накопительные обновления (Cumulative Updates), выпущенные после июня 2022 года.

Для серверных систем и автоматизированного развертывания используйте PowerShell для проверки и установки обновлений:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если установка обновлений невозможна немедленно, необходимо отключить обработку протокола MSDT через реестр Windows. Это предотвратит запуск диагностического инструмента по ссылке из приложений.

1. Создание резервной копии ключа реестра:

reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt_backup.reg

2. Удаление ключа обработчика протокола:

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

3. Отключение предварительного просмотра в проводнике (дополнительная мера для RTF):

Для предотвращения автоматического запуска через панель предварительного просмотра выполните:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoReadingPane" /t REG_DWORD /d 1 /f

4. Восстановление (после установки патчей):

Если вам потребуется вернуть функционал MSDT после обновления системы, используйте ранее созданный файл бэкапа:

reg import ms-msdt_backup.reg
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей