Follina: patch tidak resmi tersedia untuk kerentanan zero-day di Windows

Follina: patch tidak resmi tersedia untuk kerentanan zero-day di Windows

Penyerang dapat mengeksekusi kode berbahaya melalui PowerShell. Peretas sudah secara aktif mengeksploitasi kerentanan. Microsoft juga menawarkan solusi.

Karena kerentanan zero-day Windows, yang dikenal sejak akhir minggu dan sekarang aktif dieksploitasi oleh peretas, sekarang tambalan tidak resmi. Ini dirancang untuk mencegah penyerang menjalankan perintah PowerShell pada sistem Windows yang sepenuhnya ditambal dengan sedikit interaksi pengguna. Microsoft juga menawarkan Solusi yang, bagaimanapun, mengarah pada pembatasan fungsional.

Menurut Microsoft, kerentanan yang disebut Follina ada di Microsoft Support Diagnostic Tool (MSDT). Jika aplikasi seperti Word memanggil protokol URL, penyerang dapat mengeksekusi kode arbitrer dengan hak istimewa aplikasi pemanggil. Menurut Microsoft, dimungkinkan untuk menginstal program, melihat atau bahkan menghapus data dan bahkan membuat akun pengguna baru.

Patch tidak resmi dikembangkan oleh vendor keamanan 0Patch. “Sejauh ini yang paling mudah adalah menonaktifkan msdt.exe melalui panggilan TerminateProcess(). Namun, ini akan membuat Asisten Diagnostik Windows tidak dapat digunakan, bahkan untuk aplikasi non-Office. Opsi lain adalah memperbaiki rekomendasi Microsoft, dengan menonaktifkan secara efektif ms-msdt:URL protokol handler. Tapi jika memungkinkan, kami ingin meminimalkan efek samping, “tulis CEO Mitja Kolsek dalam entri blog.

Microsoft merekomendasikan untuk menonaktifkan protokol URL

Akibatnya, file executable layanan diagnostik msdt.exe tidak diperbaiki, tetapi file sdiagnhost.exe. Sebelum memanggil “RunScript”, tambalan 0Patch memeriksa apakah jalur yang disediakan pengguna berisi string yang pada gilirannya diperlukan untuk menjalankan kode PowerShell. Jika ini terdeteksi, perbaikan memastikan bahwa panggilan “RunScript” diabaikan – tanpa memengaruhi alat diagnostik yang sebenarnya.

Namun, Microsoft menyarankan untuk menonaktifkan protokol URL MSDT hingga pembaruan resmi tersedia. Dalam entri blog, perusahaan menjelaskan bagaimana hal ini dapat diterapkan dengan memodifikasi database pendaftaran – dan bagaimana hal itu dapat dibatalkan.

READ  Metroid baru secara resmi diumumkan untuk Nintendo Switch

Namun, tidak jelas kapan Microsoft akan menutup lubang keamanan tersebut. Hari patch berikutnya adalah pada 14 Juni. Namun, Microsoft mungkin juga menyediakan patch yang tidak direncanakan sebelumnya.

Written By
More from Munir Rad
Minggu depan, Rilma akan meluncurkan Narzo 20 dan Narzo 20 Prop di Indonesia
Realme Narzo 20 Realme Indonesia secara resmi mengonfirmasi akan mulai hari ini...
Read More
Leave a comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *