A Microsoft identificou uma falha de segurança crítica, do tipo “dia zero”, no sistema Windows, que afeta diversas versões, incluindo Windows 11, Windows 10, Windows 8.1 e até mesmo o Windows 7. Essa vulnerabilidade, rastreada como CVE-2022-30190 e também conhecida como Follina, possibilita que atacantes executem códigos maliciosos remotamente em computadores com Windows, sem que o Windows Defender ou outros softwares de segurança sejam acionados. Felizmente, a Microsoft disponibilizou uma solução temporária para atenuar esse risco. Neste artigo, vamos detalhar os passos necessários para proteger seus computadores com Windows 11/10 contra essa vulnerabilidade recém-descoberta.
Solução para a vulnerabilidade “Follina” do Windows MSDT (Junho de 2022)
O que é a vulnerabilidade “Follina” do Windows MSDT (CVE-2022-30190)?
Antes de explicarmos os passos para mitigar essa vulnerabilidade, é importante entender como ela funciona. Conhecida pelo código CVE-2022-30190, essa falha de segurança do tipo “dia zero” está associada à Ferramenta de Diagnóstico de Suporte da Microsoft (MSDT). Por meio dessa vulnerabilidade, atacantes podem executar comandos PowerShell remotamente, explorando o MSDT ao abrir documentos Office maliciosos.
Conforme a Microsoft explica, “Existe uma vulnerabilidade de execução remota de código quando a MSDT é invocada usando o protocolo de URL a partir de um aplicativo como o Word. Um invasor que explore com sucesso essa vulnerabilidade pode executar códigos com os mesmos privilégios do aplicativo que o chamou. Isso permite que o invasor instale programas, visualize, altere ou exclua dados, ou crie novas contas no contexto dos direitos do usuário atual”.
O pesquisador Kevin Beaumont detalhou que o ataque usa a função de modelo remoto do Word para obter um arquivo HTML de um servidor web externo. Em seguida, o ataque utiliza o esquema de URI ms-msdt MSProtocol para carregar códigos e executar comandos PowerShell. A vulnerabilidade recebeu o nome “Follina” porque um dos arquivos de exemplo se refere a “0438”, o código de área de Follina, Itália.
Você pode estar se perguntando por que o Modo de Exibição Protegida do Microsoft não impede que o documento malicioso abra o link. Isso ocorre porque a execução da vulnerabilidade pode ocorrer mesmo fora do escopo do Modo de Exibição Protegida. O pesquisador John Hammond demonstrou no Twitter que o link pode ser executado diretamente do painel de visualização do Explorador de Arquivos, por meio de arquivos Rich Text Format (.rtf).
Um relatório da ArsTechnica informou que pesquisadores do Shadow Chaser Group alertaram a Microsoft sobre essa vulnerabilidade em 12 de abril. Apesar da resposta inicial da Microsoft uma semana depois, a empresa aparentemente a descartou por não ter conseguido replicá-la. No entanto, a vulnerabilidade agora é classificada como “dia zero” e a Microsoft recomenda desabilitar o protocolo de URL MSDT como uma solução temporária para proteger os computadores contra a exploração.
Meu PC com Windows está vulnerável à exploração “Follina”?
Na página do guia de atualização de segurança, a Microsoft listou 41 versões do Windows afetadas pela vulnerabilidade Follina CVE-2022-30190. Isso inclui Windows 7, Windows 8.1, Windows 10, Windows 11 e também diversas edições do Windows Server. Abaixo, confira a lista completa de versões afetadas:
- Windows 10 versão 1607 para sistemas de 32 bits
- Windows 10 versão 1607 para sistemas baseados em x64
- Windows 10 versão 1809 para sistemas de 32 bits
- Windows 10 versão 1809 para sistemas baseados em ARM64
- Windows 10 versão 1809 para sistemas baseados em x64
- Windows 10 versão 20H2 para sistemas de 32 bits
- Windows 10 versão 20H2 para sistemas baseados em ARM64
- Windows 10 versão 20H2 para sistemas baseados em x64
- Windows 10 versão 21H1 para sistemas de 32 bits
- Windows 10 versão 21H1 para sistemas baseados em ARM64
- Windows 10 versão 21H1 para sistemas baseados em x64
- Windows 10 versão 21H2 para sistemas de 32 bits
- Windows 10 versão 21H2 para sistemas baseados em ARM64
- Windows 10 versão 21H2 para sistemas baseados em x64
- Windows 10 para sistemas de 32 bits
- Windows 10 para sistemas baseados em x64
- Windows 11 para sistemas baseados em ARM64
- Windows 11 para sistemas baseados em x64
- Windows 7 para sistemas de 32 bits Service Pack 1
- Windows 7 para sistemas baseados em x64 Service Pack 1
- Windows 8.1 para sistemas de 32 bits
- Windows 8.1 para sistemas baseados em x64
- WindowsRT 8.1
- Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
- Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)
- Windows Server 2008 para sistemas de 32 bits Service Pack 2
- Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
- Windows Server 2008 para sistemas baseados em x64 Service Pack 2
- Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)
- Servidor Windows 2012
- Windows Server 2012 (instalação Server Core)
- Windows Server 2012 R2
- Windows Server 2012 R2 (instalação Server Core)
- Servidor Windows 2016
- Windows Server 2016 (instalação Server Core)
- Servidor Windows 2019
- Windows Server 2019 (instalação Server Core)
- Servidor Windows 2022
- Windows Server 2022 (instalação Server Core)
- Hotpatch principal do Windows Server 2022 Azure Edition
- Windows Server, versão 20H2 (Instalação Server Core)
Desabilitar o protocolo de URL MSDT para proteger o Windows da vulnerabilidade “Follina”
1. Pressione a tecla Windows e digite “Cmd” ou “Prompt de Comando”. Quando o resultado aparecer, escolha “Executar como administrador” para abrir uma janela de prompt de comando com privilégios elevados.
2. Antes de alterar o registro, faça um backup usando o comando abaixo. Dessa forma, você poderá restaurar o protocolo assim que a Microsoft liberar uma correção oficial. O caminho do arquivo se refere ao local onde você deseja salvar o arquivo de backup .reg.
reg export HKEY_CLASSES_ROOTms-msdt <caminho_do_arquivo.reg>
3. Agora você pode executar o seguinte comando para desabilitar o protocolo de URL MSDT. Se bem-sucedido, você verá a mensagem “A operação foi concluída com êxito” na janela do prompt de comando.
reg delete HKEY_CLASSES_ROOTms-msdt /f
4. Para restaurar o protocolo posteriormente, utilize o backup do registro criado no passo 2. Execute o comando abaixo e o protocolo de URL MSDT estará novamente disponível.
reg import <caminho_do_arquivo.reg>
Proteja seu PC com Windows da vulnerabilidade MSDT “dia zero”
Esses são os passos necessários para desabilitar o protocolo de URL MSDT no seu PC com Windows e impedir a exploração “Follina”. Enquanto a Microsoft não lança uma correção de segurança oficial para todas as versões do Windows, essa solução é uma forma prática de se proteger contra a vulnerabilidade “Follina” MSDT CVE-2022-30190. Além disso, para uma proteção mais ampla contra programas maliciosos, considere instalar ferramentas de remoção de malware ou softwares antivírus dedicados.