• Follina (CVE-2022-30190): Wciąż groźna w Windows 11? Nowe warianty ataków
    Cyberbezpieczeństwo Windows 11

    Follina (CVE-2022-30190): Wciąż groźna w Windows 11? Nowe warianty ataków

    Redakcja Opublikowane w

    🧨 Follina (CVE-2022-30190): Wciąż groźna w Windows 11? Nowe warianty ataków

    📌 Wprowadzenie

    W 2022 roku świat cyberbezpieczeństwa został wstrząśnięty przez odkrycie nowej, wyjątkowo niebezpiecznej luki znanej jako Follina (CVE-2022-30190). Luka ta, wykorzystująca funkcjonalność narzędzia MSDT (Microsoft Support Diagnostic Tool) w dokumentach pakietu Office, stała się natychmiastowym celem cyberprzestępców.

    Mimo że Microsoft opublikował poprawki zabezpieczające, realia roku 2025 pokazują, że nowe warianty ataków typu Follina nadal zagrażają użytkownikom systemu Windows 11. Co więcej – rozwój technik omijania zabezpieczeń i eksploracja nowych wektorów ataku pokazują, że zagrożenie wcale nie zniknęło, a jedynie ewoluowało.

    W niniejszym artykule:

    • Zgłębimy mechanikę Folliny i jej działanie,
    • Przeanalizujemy nowe warianty ataku w środowisku Windows 11,
    • Ocenimy skuteczność dotychczasowych środków zaradczych,
    • Odpowiemy na pytanie, czy system Windows 11 jest dziś naprawdę bezpieczny.

    🔍 Czym była (i jest) luka Follina?

    📄 Krótkie przypomnienie:

    • CVE-2022-30190 to luka w komponencie MSDT, która pozwala na zdalne wykonanie kodu bez interakcji użytkownika (zero-click lub single-click).
    • Wektor ataku wykorzystuje dokumenty Word lub RTF z linkami do złośliwych szablonów HTML.
    • Złośliwy szablon uruchamia ms-msdt:/ jako protokół URI, który z kolei uruchamia diagnostykę z parametrami umożliwiającymi wykonanie arbitralnego kodu PowerShell.
    Czytaj  Jak korzystać z szyfrowania po stronie klienta (client-side encryption) i szyfrowania po stronie serwera (server-side encryption)
    Follina (CVE-2022-30190): Wciąż groźna w Windows 11? Nowe warianty ataków
    Follina (CVE-2022-30190): Wciąż groźna w Windows 11? Nowe warianty ataków

    🧬 Główne cechy Folliny:

    • Brak potrzeby makr – atak może działać bez aktywacji makr przez użytkownika.
    • Brak ostrzeżeń – w wielu przypadkach system nie ostrzega o potencjalnym zagrożeniu.
    • Obejście Defendera – pierwotne wersje ataku były skuteczne nawet przy włączonej ochronie w czasie rzeczywistym.

    🧠 Jak Follina działała technicznie?

    graph TD
A[Otwarty dokument Word] --> B[Szablon zdalny HTML]
B --> C[Protokół ms-msdt]
C --> D[Wywołanie PowerShell z payloadem]
D --> E[Zdalne wykonanie kodu (RCE)]

    Dokument otwarty przez użytkownika automatycznie kontaktował się ze zdalnym serwerem, pobierał plik HTML zawierający ładunek i uruchamiał MSDT z parametrami umożliwiającymi wykonanie złośliwego kodu.

    🛠️ Windows 11 a Follina – co zmienił Microsoft?

    Microsoft w odpowiedzi na falę ataków:

    • Wyłączył protokół ms-msdt w aktualizacjach bezpieczeństwa,
    • Zaktualizował reguły ASR (Attack Surface Reduction) w Defenderze,
    • Zablokował wywoływanie narzędzi diagnostycznych z aplikacji Office,
    • Wprowadził dodatkowe logowanie zdarzeń, które ułatwia analizę powłamaniową.

    Jednak mimo tych działań – mechanizmy Follina są wykorzystywane w innych formach, a ataki powróciły w przebraniu.

    🔁 Follina 2.0 – Nowe warianty w 2023–2025

    Eksperci z zespołów Red Team i grup takich jak Mandiant, SentinelOne oraz Project Zero zidentyfikowali nowe implementacje ataku:

    1. 🧾 Follina przez OneNote:

    • Złośliwe pliki .one z osadzonymi linkami do ms-msdt:/ (przed patchami),
    • Mechanizm wyzwalający PowerShell po kliknięciu w obiekt graficzny.

    2. 🌐 HTML Smuggling + msdt.exe:

    • Użytkownik otwiera stronę phishingową,
    • HTML zawiera kod uruchamiający msdt przez iframe lub dynamicznie generowany link.

    3. 📦 Follina z pakietami ClickOnce:

    • Dystrybucja aplikacji Windows przy użyciu ClickOnce z osadzonym ładunkiem Folliny,
    • Mechanizm instalacyjny obchodził część ograniczeń ASR.

    🌍 Powiązania z zagrożeniami w internecie

    Follina to podręcznikowy przykład zagrożeń w internecie, które:

    • Wykorzystują socjotechnikę (np. spreparowane CV lub faktury),
    • Omijają klasyczne mechanizmy bezpieczeństwa,
    • Wprowadzają złośliwe oprogramowanie (ransomware, stealer, RAT) do systemu.
    Czytaj  Bezpieczeństwo haseł i uwierzytelniania w systemach operacyjnych

    W ciągu dwóch lat Follina i jej mutacje były wykorzystywane przez grupy APT takie jak:

    • APT28 (Rosja),
    • TA413 (Chiny),
    • FIN7 (cyberprzestępczość finansowa).

    📈 Statystyka i wpływ

    Rok Ilość udokumentowanych ataków Główne cele
    2022 220+ Administracje publiczne, NGO
    2023 300+ Finanse, edukacja, zdrowie
    2024 180+ Firmy MSP, infrastruktura

    🛡️ Rekomendacje zabezpieczeń

    🏠 Dla użytkowników końcowych:

    • Unikaj otwierania nieznanych dokumentów Office lub OneNote.
    • Zablokuj ms-msdt (jeśli jeszcze aktywny):
    reg delete HKEY_CLASSES_ROOT\ms-msdt /f
    • Włącz reguły ASR w Microsoft Defender:
    Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
    • Korzystaj z zaawansowanych pakietów bezpieczeństwa (EDR/XDR).

    🏢 Dla organizacji:

    • Wprowadź blokadę protokołu MSDT i innych URI przez GPO,
    • Użyj AppLocker/WDAC do zablokowania uruchamiania msdt.exe,
    • Monitoruj aktywność Office i nieoczekiwane połączenia z zewnętrznymi serwerami,
    • Przeszkol pracowników z zakresu socjotechniki i phishingu,
    • Korzystaj z Threat Intelligence i analizuj IOC (Indicators of Compromise).

    🔍 Czy Follina zniknęła? Nie. Zmieniła formę.

    Mimo oficjalnych łat i komunikatów Microsoftu, ataki oparte na wektorze Follina są nadal aktywne. Zmienili się tylko ich operatorzy i powierzchnia ataku – z dokumentów Word przeszli do:

    • OneNote,
    • HTML5,
    • Teams i komunikatory,
    • Systemów do e-podpisów i pakietów ClickOnce.

    🧩 Podsumowanie

    Follina to więcej niż luka – to klasa ataków, która ujawniła poważne niedopatrzenia w integracji usług diagnostycznych, protokołów URI i aplikacji biurowych. Mimo upływu czasu, jej duch nadal żyje i zagraża użytkownikom, administratorom oraz całym infrastrukturam IT.

    Nawet Windows 11, z całym bagażem nowych zabezpieczeń, nie jest w 100% odporny na kreatywnie przekształcone warianty tego ataku.

    🔒 Jedynym skutecznym remedium pozostaje proaktywne bezpieczeństwo, aktualność wiedzy oraz monitorowanie zachowań systemowych.

    Polecane wpisy
    Jak działa i jak zabezpieczyć sieć 5G?
    Jak działa i jak zabezpieczyć sieć 5G?

    Jak działa i jak zabezpieczyć sieć 5G? Sieć 5G to piąta generacja technologii mobilnej, która oferuje znacznie większą przepustowość, niższe Czytaj dalej

    Czytaj  Jak wygenerować silne klucze RSA przy użyciu OpenSSL i bezpiecznie ich używać do podpisywania cyfrowego
    Prywatność w mediach społecznościowych – jak chronić swoje dane?
    Prywatność w mediach społecznościowych – jak chronić swoje dane?

    Prywatność w mediach społecznościowych – jak chronić swoje dane? Wstęp W dobie powszechnego korzystania z mediów społecznościowych ochrona prywatności staje Czytaj dalej

    Powiązane wpisy:

    1. Project Zero vs. Windows 11: Najgłośniejsze odkrycia luk i ich wpływ na bezpieczeństwo
    2. Zero-day w Windows 11: Studia przypadków najnowszych, niewykrytych exploitów
    3. PrintNightmare i jego ewolucja w Windows 11: Co dalej z usługami drukowania?
    4. Wirtualizacja oparta na bezpieczeństwie (VBS) w Windows 11: Czy to wystarczy?
    5. DirectX 12 Ultimate: Czy nowe API graficzne otwiera drzwi dla exploitów?
    Otagowano:

    Redakcja
    Zobacz wszystkie wpisy

    Może ci się spodobać również