Threat Intel : CVE-2022-30190 / FOLLINA

Microsoft telah mengumumkan adanya celah keamanan pada tanggal 30 mei 2022 berupa CVE-2022-30190 atau umum disebut sebagai Follina. CVE-2022-30190 merupakan celah keamanan yang dapat dimanfaatkan untuk melancarkan remote code execution kedalam sistem operasi Windows.  Kerentanan ini mengeksploitasi celah keamanan pada sistem diagnostic Windows (MSDT). Serangan dengan memanfaatkan celah keamanan follina, umumnya menggunakan file Microsoft Office yang telah ditambahkan payload exploitasi dan dikirimkan melalui email.

CVE-2022-30190 termasuk zero day vulnerability dan belum memiliki patch serta telah memiliki banyak varian exploit. Beberapa  langkah pencegahan yang dapat dilaksanakan adalah sebagai berikut :

1. Menonaktifkan MSDT URL PROTOCOL;
2. Mematikan macro media pada Microsoft Office;
3. Mengaktifkan cloud-delivered protection dan automatic sample submission pada windows defender;
4. Menginstall antivirus tambahan; dan
5. Secara berkala melakukan update microsoft office & sistem operasi Windows.

Adapun langkah-langkah dalam melakukan disable MSDT URL PROTOCOL adalah sebagai berikut:

Disable MSDT URL Protocol

1. Buka Command Prompt(CMD) sebagai Administrator.
2. Backup registry key, dengan menjalankan perintah:

reg export HKEY_CLASSES_ROOT\ms-msdt backup_regkey

3. Jalankan perintah

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Enable MSDT URL Protocol

1. Buka Command Prompt (CMD) sebagai Administrator.
2. Untuk melakukan restore registry key, jalankan perintah

reg import backup_regkey

Download Infografis CVE-2022-30190