0patch發(fā)布非官方Follina零日漏洞修復(fù)補(bǔ)丁還覆蓋Windows 7

動(dòng)態(tài) 2022-06-02 16:11

聲明：該文章來(lái)自（cnbeta）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

本周曝光的 Follina 零日漏洞，一旦設(shè)備感染之后就可以在受害者計(jì)算機(jī)上遠(yuǎn)程執(zhí)行代碼。雖然微軟在數(shù)周前已承認(rèn)存在該漏洞，但是微軟至今尚未發(fā)布有效的漏洞修復(fù)補(bǔ)丁，只是提供了比較詳細(xì)的解決方案。所幸的是，第三方公司提供了相關(guān)的補(bǔ)丁。

微補(bǔ)丁公司 0patch 已針對(duì) Windows 11、Windows 10、Windows 7 和 Windows Server 2008 R2 發(fā)布了針對(duì)該漏洞的免費(fèi)修復(fù)程序，該漏洞被跟蹤為 CVE-2022-30190，存在于 Microsoft Windows 支持診斷工具 ( MSDT) Windows 組件中。

目前微軟官方提供的解決方案可謂“簡(jiǎn)單粗暴”，就是禁用有問(wèn)題的組件；而 0patch 則提供了更微妙的方法。在一篇關(guān)于微補(bǔ)丁的博客文章中，Mitja Kolsek 的 0patch 說(shuō)：

對(duì)我們來(lái)說(shuō)，通過(guò)使用 TerminateProcess() 調(diào)用修補(bǔ)它來(lái)禁用 msdt.exe 是迄今為止最簡(jiǎn)單的方法。但是，這會(huì)使 Windows 診斷向?qū)o(wú)法運(yùn)行，即使對(duì)于非 Office 應(yīng)用程序也是如此。另一種選擇是將微軟的建議編入補(bǔ)丁，有效地禁用 ms-msdt: URL 協(xié)議處理程序。

但如果可能，我們希望盡量減少除漏洞之外的影響，因此我們決定在調(diào)用 RunScript 之前將補(bǔ)丁放在 sdiagnhost.exe 中，并檢查用戶提供的路徑是否包含“$(”序列 - 這是必要的用于注入 PowerShell 子表達(dá)式。如果檢測(cè)到，我們確保在診斷工具繼續(xù)運(yùn)行時(shí)繞過(guò) RunScript 調(diào)用。

無(wú)論您安裝了哪個(gè)版本的 Office，或者您是否安裝了 Office，該漏洞也可能通過(guò)其他攻擊媒介被利用。這就是為什么我們還修補(bǔ)了 Windows 7，其中ms-msdt：根本沒(méi)有注冊(cè) URL 處理程序

0patch 提供的補(bǔ)丁適用于以下系統(tǒng)，甚至還包括已經(jīng)停止支持的 Windows 7 系統(tǒng)：

● Windows 11 v21H2

● Windows 10 v21H2

● Windows 10 v21H1

● Windows 10 v20H2

● Windows 10 v2004

● Windows 10 v1909

● Windows 10 v1903

● Windows 10 v1809

● Windows 10 v1803

● Windows 7