Microsoft는 MSDT(Microsoft 지원 진단 도구)에서 새로 발견된 취약점에 대한 지침을 게시했습니다. 이 보안 결함은 최근 연구원에 의해 발견되었으며 제로데이 원격 코드 실행 취약점으로 식별되었으며 Microsoft는 현재 이를 CVE-2022-30190으로 추적하고 있습니다. 이 보안 결함은 MSDT URI 프로토콜이 활성화된 모든 버전의 Windows PC에 영향을 줄 수 있다고 합니다.

MSRC에서 제출한 블로그 게시물에 따르면 MS Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 Microsoft 지원 진단 도구를 호출하면 컴퓨터가 이 공격에 취약해집니다. 공격자는 MSDT URL 프로토콜을 사용하는 조작된 URL을 통해 이 취약점을 악용할 수 있습니다.

“이 취약점 악용에 성공한 공격자는 호출 응용 프로그램의 권한으로 임의 코드를 실행할 수 있습니다. 그런 다음 공격자는 프로그램을 설치하고, 데이터를 보거나, 변경 또는 삭제할 수 있으며, 사용자 권한이 허용하는 컨텍스트에서 새 계정을 만들 수 있습니다.”라고 말합니다. 마이크로소프트.

좋은 점은 Microsoft가 이 취약점에 대한 몇 가지 해결 방법을 발표했다는 것입니다.

Microsoft 지원 진단 도구 취약점으로부터 Windows 보호

MSDT URL 프로토콜 비활성화

공격자는 MSDT URL 프로토콜을 통해 이 취약점을 악용할 수 있으므로 MSDT URL 프로토콜을 비활성화하여 해결할 수 있습니다. 이렇게 하면 문제 해결사가 링크로 실행되지 않습니다. 그러나 시스템의 도움말 보기 기능을 사용하여 문제 해결사에 계속 액세스할 수 있습니다.

MSDT URL 프로토콜을 비활성화하려면:

  • Windows 검색 옵션에 CMD를 입력하고 관리자 권한으로 실행을 클릭합니다.
  • 먼저 명령을 실행하고, reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg 레지스트리 키를 백업합니다.
  • 그런 다음 명령을 실행하십시오. reg delete HKEY_CLASSES_ROOTms-msdt /f.

이 작업을 실행 취소하려면 명령 프롬프트를 관리자로 다시 실행하고 명령을 실행하십시오. reg import regbackupmsdt.reg. 이전 명령에서 사용한 것과 동일한 파일 이름을 사용하는 것을 기억하십시오.

Microsoft Defender 탐지 및 보호 켜기

이 취약점을 피하기 위해 다음으로 할 수 있는 일은 클라우드 제공 보호 및 자동 샘플 제출을 켜는 것입니다. 이렇게 하면 기계가 인공 지능을 사용하여 가능한 위협을 빠르게 식별하고 중지할 수 있습니다.

Microsoft Defender for Endpoint 고객인 경우 공격 표면 축소 규칙 “을 활성화하여 Office 앱이 하위 프로세스를 생성하지 못하도록 차단할 수 있습니다.BlockOfficeCreateProcessRule“.

Microsoft에 따라 Microsoft Defender Antivirus 빌드 1.367.851.0 이상은 다음과 같은 가능한 취약점 악용에 대한 탐지 및 보호 기능을 제공합니다.

  • Trojan:Win32/Mesdetty.A(msdt 명령줄 차단)
  • Trojan:Win32/Mesdetty.B(msdt 명령줄 차단)
  • Behavior:Win32/MesdettyLaunch.A!blk (msdt 명령줄을 시작한 프로세스를 종료합니다)
  • Trojan:Win32/MesdettyScript.A (msdt 의심스러운 명령이 포함된 HTML 파일이 삭제되는 것을 감지하기 위해)
  • Trojan:Win32/MesdettyScript.B (msdt 의심스러운 명령이 포함된 HTML 파일이 삭제되는 것을 감지하기 위해)

Microsoft에서 제안한 해결 방법이 공격을 중지할 수 있지만 다른 문제 해결 마법사에 계속 액세스할 수 있으므로 여전히 완벽한 솔루션은 아닙니다. 이 위협을 피하려면 실제로 다른 문제 해결 마법사도 비활성화해야 합니다.

그룹 정책 편집기를 사용하여 문제 해결 마법사 비활성화

Benjamin Delphy는 그룹 정책 편집기를 사용하여 PC에서 다른 문제 해결사를 비활성화할 수 있는 더 나은 솔루션을 트윗했습니다.

  • Win+R을 눌러 실행 대화 상자를 열고 다음을 입력합니다. gpedit.msc 그룹 정책 편집기를 엽니다.
  • 컴퓨터 구성 > 관리 템플릿 > 시스템 > 문제 해결 및 진단 > 스크립트 진단으로 이동합니다.
  • 문제 해결: 사용자가 문제 해결 마법사에 액세스하고 실행하도록 허용을 두 번 클릭합니다.
  • 팝업 창에서 비활성화 확인란을 선택하고 확인을 클릭합니다.

레지스트리 편집기를 사용하여 문제 해결 마법사 비활성화

PC에 그룹 정책 편집기가 없는 경우 레지스트리 편집기를 사용하여 문제 해결 마법사를 비활성화할 수 있습니다. Win+R을 눌러

  • 대화 상자를 실행하고 Regedit를 입력하여 레지스트리 편집기를 엽니다.
  • 이동 ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • 레지스트리 편집기에 Scripted Diagnostic 키가 표시되지 않으면 Safer 키를 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > 키를 클릭합니다.
  • 이름을 다음과 같이 지정합니다. ScriptedDiagnostics.
  • Scripted Diagnostics를 마우스 오른쪽 버튼으로 클릭하고 오른쪽 창에서 빈 공간을 마우스 오른쪽 버튼으로 클릭하고 새로 만들기 > Dword(32비트) 값을 선택하고 이름을 지정합니다. EnableDiagnostics. 값이 다음과 같은지 확인하십시오. 0.
  • 레지스트리 편집기를 닫고 PC를 재부팅하십시오.

도움이 되었기를 바랍니다.

Microsoft 지원 진단 도구 취약점