Microsoft telah menerbitkan panduan untuk kerentanan yang baru ditemukan di MSDT (Alat Diagnostik Dukungan Microsoft). Cacat keamanan ini baru-baru ini ditemukan oleh para peneliti dan diidentifikasi sebagai kerentanan Eksekusi Kode Jarak Jauh Zero-Day dan Microsoft sekarang melacaknya sebagai CVE-2022-30190. Cacat keamanan ini dilaporkan dapat memengaruhi semua versi PC Windows yang mengaktifkan protokol MSDT URI.

Sesuai posting blog yang dikirimkan oleh MSRC, komputer Anda menjadi rentan terhadap serangan ini ketika Alat Diagnostik Dukungan Microsoft dipanggil menggunakan protokol URL dari memanggil aplikasi seperti MS Word. Penyerang dapat mengeksploitasi kerentanan ini melalui URL yang dibuat yang menggunakan protokol URL MSDT.

“Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa aplikasi pemanggil. Penyerang kemudian dapat menginstal program, melihat, mengubah, atau menghapus data, atau membuat akun baru dalam konteks yang diizinkan oleh hak pengguna”, kata Microsoft.

Nah, hal baiknya adalah Microsoft telah merilis beberapa solusi untuk kerentanan ini.

Lindungi Windows dari Kerentanan Alat Diagnostik Dukungan Microsoft

Nonaktifkan Protokol URL MSDT

Karena penyerang dapat mengeksploitasi kerentanan ini melalui protokol URL MSDT, itu dapat diperbaiki dengan menonaktifkan Protokol URL MSDT. Melakukan ini tidak akan meluncurkan pemecah masalah sebagai tautan. Namun, Anda masih dapat mengakses pemecah masalah menggunakan fitur Dapatkan Bantuan di sistem Anda.

Untuk menonaktifkan Protokol URL MSDT:

  • Ketik CMD di opsi Pencarian Windows dan klik Jalankan sebagai Administrator.
  • Pertama, jalankan perintah, reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg untuk membuat cadangan kunci registri.
  • Dan kemudian, jalankan perintah reg delete HKEY_CLASSES_ROOTms-msdt /f.

Jika Anda ingin membatalkan ini, jalankan Command Prompt sebagai Administrator lagi dan jalankan perintah, reg import regbackupmsdt.reg. Ingatlah untuk menggunakan nama file yang sama dengan yang Anda gunakan pada perintah sebelumnya.

Aktifkan Deteksi & Perlindungan Microsoft Defender

Hal berikutnya yang dapat Anda lakukan untuk menghindari kerentanan ini adalah mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis. Dengan melakukan ini, mesin Anda dapat dengan cepat mengidentifikasi dan menghentikan kemungkinan ancaman menggunakan kecerdasan buatan.

Jika Anda adalah pelanggan Microsoft Defender for Endpoint, Anda cukup memblokir aplikasi Office agar tidak membuat proses anak dengan mengaktifkan aturan pengurangan permukaan serangan “BlockOfficeCreateProcessRule”.

Sesuai Microsoft, Microsoft Defender Antivirus build 1.367.851.0 dan yang lebih baru menyediakan deteksi dan perlindungan untuk kemungkinan eksploitasi kerentanan seperti-

  • Trojan:Win32/Mesdetty.A(memblokir baris perintah msdt)
  • Trojan:Win32/Mesdetty.B(memblokir baris perintah msdt)
  • Behavior:Win32/MesdettyLaunch.A!blk (mengakhiri proses yang meluncurkan baris perintah msdt)
  • Trojan:Win32/MesdettyScript.A (untuk mendeteksi file HTML yang berisi perintah mencurigakan msdt dijatuhkan)
  • Trojan:Win32/MesdettyScript.B (untuk mendeteksi file HTML yang berisi perintah mencurigakan msdt dijatuhkan)

Meskipun solusi yang disarankan oleh Microsoft dapat menghentikan serangan, itu masih bukan solusi yang sangat mudah karena wizard pemecahan masalah lainnya masih dapat diakses. Untuk menghindari ancaman ini, kita sebenarnya harus menonaktifkan Wizard Pemecahan Masalah lainnya juga.

Nonaktifkan Wisaya Pemecahan Masalah Menggunakan Editor Kebijakan Grup

Benjamin Delphy telah men-tweet solusi yang lebih baik di mana kami dapat menonaktifkan Pemecah Masalah lainnya di PC kami menggunakan Editor Kebijakan Grup.

  • Tekan Win+R untuk membuka Kotak Dialog Run dan ketik gpedit.msc untuk membuka Editor Kebijakan Grup.
  • Buka Konfigurasi Komputer > Template Administratif > Sistem > Pemecahan Masalah dan Diagnostik > Diagnostik Skrip
  • Klik dua kali pada Pemecahan Masalah: Izinkan pengguna untuk mengakses dan menjalankan Wisaya Pemecahan Masalah
  • Di jendela pop-up centang kotak Disabled dan klik Ok.

Nonaktifkan Wisaya Pemecahan Masalah Menggunakan Editor Registri

Jika Anda tidak memiliki Editor Kebijakan Grup di PC, Anda dapat menggunakan Editor Registri untuk menonaktifkan Wisaya Pemecahan Masalah. Tekan Win+R untuk

  • Jalankan kotak dialog dan ketik Regedit untuk membuka Registry Editor.
  • Pergi ke ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • Jika Anda tidak melihat kunci Scripted Diagnostic di Peninjau Suntingan Registri, klik kanan pada kunci Lebih Aman dan klik Baru > Kunci.
  • Beri nama sebagai ScriptedDiagnostics.
  • Klik kanan pada Scripted Diagnostics dan di panel kanan, klik kanan pada ruang kosong dan pilih New > Dword (32-bit) Value dan beri nama EnableDiagnostics. Pastikan nilainya adalah 0.
  • Tutup Registry Editor dan Reboot PC Anda.

Semoga ini membantu.

Kerentanan Alat Diagnostik Dukungan Microsoft