A Microsoft publicou orientações para uma vulnerabilidade recém-descoberta no MSDT (Microsoft Support Diagnostic Tool). Essa falha de segurança foi descoberta recentemente pelos pesquisadores e foi identificada como uma vulnerabilidade de Execução Remota de Código Zero-Day e a Microsoft agora a está rastreando como CVE-2022-30190. Essa falha de segurança pode afetar todas as versões de PCs com Windows com o protocolo MSDT URI ativado.

De acordo com a postagem do blog enviada pelo MSRC, seu computador fica vulnerável a esse ataque quando a Ferramenta de diagnóstico de suporte da Microsoft é chamada usando o protocolo de URL de aplicativos de chamada como o MS Word. Os invasores podem explorar essa vulnerabilidade por meio de URLs criados que usam o protocolo de URL MSDT.

“Um invasor que explorar com sucesso essa vulnerabilidade pode executar código arbitrário com os privilégios do aplicativo de chamada. O invasor pode então instalar programas, visualizar, alterar ou excluir dados ou criar novas contas no contexto permitido pelos direitos do usuário”, diz Microsoft.

Bem, o bom é que a Microsoft lançou algumas soluções alternativas para essa vulnerabilidade.

Proteger o Windows da vulnerabilidade da ferramenta de diagnóstico de suporte da Microsoft

Desabilitar o protocolo de URL MSDT

Como os invasores podem explorar essa vulnerabilidade por meio do protocolo MSDT URL, ela pode ser corrigida desabilitando o protocolo MSDT URL. Fazer isso não iniciará os solucionadores de problemas como links. No entanto, você ainda pode acessar os solucionadores de problemas usando o recurso Obter ajuda em seu sistema.

Para desabilitar o protocolo de URL MSDT:

  • Digite CMD na opção Windows Search e clique em Executar como administrador.
  • Primeiro, execute o comando, reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg para fazer backup da chave de registro.
  • E então, execute o comando reg delete HKEY_CLASSES_ROOTms-msdt /f.

Se você quiser desfazer isso, execute o prompt de comando como administrador novamente e execute o comando, reg import regbackupmsdt.reg. Lembre-se de usar o mesmo nome de arquivo que você usou no comando anterior.

Ativar as detecções e proteções do Microsoft Defender

A próxima coisa que você pode fazer para evitar essa vulnerabilidade é ativar a proteção fornecida na nuvem e o envio automático de amostras. Ao fazer isso, sua máquina pode identificar e interromper rapidamente as possíveis ameaças usando inteligência artificial.

Se você é cliente do Microsoft Defender for Endpoint, pode simplesmente impedir que os aplicativos do Office criem processos filho habilitando a regra de redução da superfície de ataque “BlockOfficeCreateProcessRule”.

De acordo com a Microsoft, o Microsoft Defender Antivirus build 1.367.851.0 e posterior fornece detecções e proteções para possível exploração de vulnerabilidades, como:

  • Trojan:Win32/Mesdetty.A(bloqueia a linha de comando msdt)
  • Trojan:Win32/Mesdetty.B(bloqueia a linha de comando msdt)
  • Behavior:Win32/MesdettyLaunch.A!blk (encerra o processo que iniciou a linha de comando msdt)
  • Trojan:Win32/MesdettyScript.A (para detectar arquivos HTML que contêm o comando suspeito msdt sendo descartado)
  • Trojan:Win32/MesdettyScript.B (para detectar arquivos HTML que contêm o comando suspeito msdt sendo descartado)

Embora as soluções alternativas sugeridas pela Microsoft possam interromper os ataques, ainda não é uma solução infalível, pois os outros assistentes de solução de problemas ainda estão acessíveis. Para evitar essa ameaça, também precisamos desabilitar outros assistentes de solução de problemas.

Desabilitar assistentes de solução de problemas usando o Editor de Diretiva de Grupo

Benjamin Delphy twittou uma solução melhor na qual podemos desabilitar os outros Solucionadores de Problemas em nosso PC usando o Editor de Diretiva de Grupo.

  • Pressione Win + R para abrir a caixa de diálogo Executar e digite gpedit.msc para abrir o Editor de Diretiva de Grupos.
  • Vá para Configuração do Computador > Modelos Administrativos > Sistema > Solução de Problemas e Diagnósticos > Diagnóstico com Script
  • Clique duas vezes em Solução de problemas: permitir que os usuários acessem e executem Assistentes de solução de problemas
  • Na janela pop-up, marque a caixa Desativado e clique em Ok.

Desativar assistentes de solução de problemas usando o Editor do Registro

Caso você não tenha o Editor de Diretiva de Grupos no seu PC, você pode usar o Editor do Registro para desabilitar os Assistentes de Solução de Problemas. Pressione Win+R para

  • Execute a caixa de diálogo e digite Regedit para abrir o Editor do Registro.
  • Vamos para ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • Se você não vir a chave Scripted Diagnostic no Editor do Registro, clique com o botão direito do mouse na chave Safer e clique em New > Key.
  • Nomeie-o como ScriptedDiagnostics.
  • Clique com o botão direito do mouse em Scripted Diagnostics e, no painel direito, clique com o botão direito do mouse no espaço em branco e selecione New > Dword (32-bit) Value e nomeie-o EnableDiagnostics. Certifique-se de que seu valor seja 0.
  • Feche o Editor do Registro e reinicie o seu PC.

Espero que isto ajude.

Vulnerabilidade da ferramenta de diagnóstico de suporte da Microsoft