ما تريد أن تعرفه عن ثغرة Follina

Vulnerabilities
هي ثغرة في أداة الدعم الخاصة بشركة Microsoft التي تحمل اسم Microsoft Support Diagnostic Tool (MSDT) وهي أداة لحل مشاكل في النظام
Amr Naom
Feb. 15, 2023, 3 p.m.
amr
ما تريد أن تعرفه عن ثغرة Follina

قد سبق وطرحنا أكثر الثغرات إستغلالاً في عام 2022، واليوم سنصحبكم في جولة قصيرة نتعرف من خلالها عن ثغرة من تلك الثغرات المهمة وكيف يتم إستغلالها من قبل المهاجمين وكيف تحمي نفسك منها وهي ثغرة Follina (CVE-2022-30190) 

 

ما هي ثغرة Follina ؟

ظهرت تلك الثغرة بعدما قام فريق nao_sec _و هو فريق متخصص منذ نشأته عام 2017 في العثور علي العديد من الثغرات ويتم نشرها علي موقع الويب الخاص بهم_ بالنشر علي حسابهم علي تويتر في 27 مايو 2022 بأن هناك ثغرة تعد Zero-day، وهي ثغرة في أداة الدعم الخاصة بشركة Microsoft التي تحمل اسم Microsoft Support Diagnostic Tool (MSDT) وهي أداة لحل مشاكل في النظام، ويمكنك أن تجدها من خلال المسار التالي "C:\Windows\System32" بأسم "msdt.exe" حيث عن طريق Malware يوجد بداخل ملف Word يقوم بأستخدام تلك الأداة "ms-msdt" لتنفيذ تعليمات برمجية ضارة علي الـ PowerShell الخاص بجهاز الضحية.

 

 

كيف يتم إستغلال تلك الثغرة "Exploitation":

credit to blackberry.com

في البداية يقوم المهاجم بإنشاء ملف word يحتوي علي كود برمجي ضار، و عن طريق الهندسة الإجتماعية، التصيد الإحتيالي أو عن طريق USB يقوم بنقل الملف لجهاز الضحية، ويتم فتحه وهنا تبدأ عملية الإستغلال، حيث يقوم نظام التشغيل بتشغيل أداة MSDT التي بدورها تحاول حل المشكلة وهنا يكون المهاجم لديه التحكم الكامل بجهاز الضحية ويمكنه أيضاً إستغلال الجهاز في الخلفية والعمل علي أخذ الصلاحيات و التحكم في النظام.

 

 

كيف تحمي نفسك من هذه الثغرة:

لا تقلق عزيزي القارئ ، حيث أنه في يوم 14 يونيو 2022 قد قامت شركة Microsoft بأصدار تحديث لنظام Windows لمعالجة هذه الثغرة الأمنية، لذلك عليك أتباع الأتي لحماية جهازك:

  1. تحديث نظام التشغيل الخاص بك بأستمرار.
  2. تثبيت برنامج لمكافحة البرمجيات الخبيثة.

ومع ذلك يمكنك أيضاً إيقاف بروتوكول MSDT URL عن طريق تشغيل الـ CMD كـ Administrator وتنفيذ الأوامر الآتية:

reg export HKEY_CLASSES_ROOT\ms-msdt [TYPE_THE_FILE_NAME_HERE]

 ملحوظة: يمكنك إستبدل [TYPE_THE_FILE_NAME_HERE] بأسم ملف جديد خاص بك.

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

 

وفي نهاية المطاف نتمني أن تكون قد أستفدت من تلك المقالة ولو شيئاً بسيطاً، و لا تنسي أن تلقي نظرة علي المصادر وإلي لقاء أخر قريب بإذن الله تعالي، دمت في سلام heart

References:


follina vulnerability follina msdt Amr Naom