Penyerang dapat mengeksekusi kode berbahaya melalui PowerShell. Peretas sudah secara aktif mengeksploitasi kerentanan. Microsoft juga menawarkan solusi.
Karena kerentanan zero-day Windows, yang dikenal sejak akhir minggu dan sekarang aktif dieksploitasi oleh peretas, sekarang tambalan tidak resmi. Ini dirancang untuk mencegah penyerang menjalankan perintah PowerShell pada sistem Windows yang sepenuhnya ditambal dengan sedikit interaksi pengguna. Microsoft juga menawarkan Solusi yang, bagaimanapun, mengarah pada pembatasan fungsional.
Menurut Microsoft, kerentanan yang disebut Follina ada di Microsoft Support Diagnostic Tool (MSDT). Jika aplikasi seperti Word memanggil protokol URL, penyerang dapat mengeksekusi kode arbitrer dengan hak istimewa aplikasi pemanggil. Menurut Microsoft, dimungkinkan untuk menginstal program, melihat atau bahkan menghapus data dan bahkan membuat akun pengguna baru.
Patch tidak resmi dikembangkan oleh vendor keamanan 0Patch. “Sejauh ini yang paling mudah adalah menonaktifkan msdt.exe melalui panggilan TerminateProcess(). Namun, ini akan membuat Asisten Diagnostik Windows tidak dapat digunakan, bahkan untuk aplikasi non-Office. Opsi lain adalah memperbaiki rekomendasi Microsoft, dengan menonaktifkan secara efektif ms-msdt:URL protokol handler. Tapi jika memungkinkan, kami ingin meminimalkan efek samping, “tulis CEO Mitja Kolsek dalam entri blog.
Microsoft merekomendasikan untuk menonaktifkan protokol URL
Akibatnya, file executable layanan diagnostik msdt.exe tidak diperbaiki, tetapi file sdiagnhost.exe. Sebelum memanggil “RunScript”, tambalan 0Patch memeriksa apakah jalur yang disediakan pengguna berisi string yang pada gilirannya diperlukan untuk menjalankan kode PowerShell. Jika ini terdeteksi, perbaikan memastikan bahwa panggilan “RunScript” diabaikan – tanpa memengaruhi alat diagnostik yang sebenarnya.
Namun, Microsoft menyarankan untuk menonaktifkan protokol URL MSDT hingga pembaruan resmi tersedia. Dalam entri blog, perusahaan menjelaskan bagaimana hal ini dapat diterapkan dengan memodifikasi database pendaftaran – dan bagaimana hal itu dapat dibatalkan.
Namun, tidak jelas kapan Microsoft akan menutup lubang keamanan tersebut. Hari patch berikutnya adalah pada 14 Juni. Namun, Microsoft mungkin juga menyediakan patch yang tidak direncanakan sebelumnya.
“Organizer. Devoted music enthusiast. Pop culture pioneer. Coffee practitioner.”
