Pada hari Senin 30 Mei 2022, Microsoft mengeluarkan CVE-2022-30190 mengenai Microsoft Support Diagnostic Tool (MSDT) pada kerentanan Windows, pertama kali dilaporkan selama akhir pekan Memorial Day oleh para peneliti dengan vendor keamanan Jepang Nao Sec.
Peneliti keamanan Kevin Beaumont menamai kerentanan itu “Folina,” karena kode zero day merujuk 0438, yang merupakan kode area untuk Follina, Italia. Beaumont mencatat bahwa Defender for Endpoint tidak mendeteksi eksploit, yang mengambil file HTML dari server web jarak jauh dan memungkinkan eksekusi kode PowerShell.
Penyerang yang berhasil mengeksploitasi kerentanan dapat menjalankan kode arbitrer dengan hak istimewa aplikasi panggilan, dan kemudian dapat menginstal program, mengubah atau menghapus data, atau bahkan membuat akun baru yang diizinkan oleh hak pengguna, Microsoft memposting di blog keamanannya.
Untuk menonaktifkan Protokol URL MDST, Microsoft mengatakan pengguna harus:
- Jalankan Command Prompt sebagai Administrator.
- Untuk membuat cadangan kunci registri, jalankan perintah “reg export HKEY_CLASSES_ROOT\ms-msdt filename”
- Jalankan perintah “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
Microsoft mengatakan pelanggan dengan Defender Antivirus harus mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis, sementara pelanggan Defender untuk Endpoint dapat mengaktifkan aturan pengurangan permukaan serangan “BlockOfficeCreateProcessRule” yang memblokir aplikasi Office dari membuat proses anak.
Badan Keamanan Cybersecurity dan Infrastruktur AS mengeluarkan peringatan pada hari Selasa di Follina, mendesak pengguna dan administrator untuk menerapkan solusi yang diperlukan.
