Microsoft опубликовала руководство по недавно обнаруженной уязвимости в MSDT (средство диагностики поддержки Microsoft). Эта уязвимость безопасности была недавно обнаружена исследователями и идентифицирована как уязвимость удаленного выполнения кода нулевого дня, и теперь Microsoft отслеживает ее как CVE-2022-30190. Сообщается, что этот недостаток безопасности может повлиять на все версии ПК с Windows, на которых включен протокол MSDT URI.

Согласно сообщению в блоге, представленному MSRC, ваш компьютер становится уязвимым для этой атаки, когда средство диагностики поддержки Microsoft вызывается с использованием протокола URL из вызывающих приложений, таких как MS Word. Злоумышленники могут использовать эту уязвимость с помощью созданных URL-адресов, использующих протокол URL-адресов MSDT.

«Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями вызывающего приложения. Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в контексте, разрешенном правами пользователя», — говорится в сообщении. Майкрософт.

Что ж, хорошо, что Microsoft выпустила несколько обходных путей для этой уязвимости.

Защитите Windows от уязвимости Microsoft Support Diagnostic Tool

Отключить протокол URL-адресов MSDT

Поскольку злоумышленники могут использовать эту уязвимость через протокол URL-адресов MSDT, ее можно устранить, отключив протокол URL-адресов MSDT. Это не приведет к запуску средств устранения неполадок в виде ссылок. Однако вы по-прежнему можете получить доступ к средствам устранения неполадок, используя функцию «Получить справку» в вашей системе.

Чтобы отключить протокол URL-адресов MSDT:

  • Введите CMD в поле поиска Windows и нажмите «Запуск от имени администратора».
  • Сначала запустите команду, reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg для резервного копирования ключа реестра.
  • А затем выполните команду reg delete HKEY_CLASSES_ROOTms-msdt /f.

Если вы хотите отменить это, снова запустите командную строку от имени администратора и выполните команду, reg import regbackupmsdt.reg. Не забудьте использовать то же имя файла, которое вы использовали в предыдущей команде.

Включите обнаружение и защиту Microsoft Defender.

Следующее, что вы можете сделать, чтобы избежать этой уязвимости, — это включить облачную защиту и автоматическую отправку образцов. Делая это, ваша машина может быстро идентифицировать и останавливать возможные угрозы с помощью искусственного интеллекта.

Если вы являетесь клиентом Microsoft Defender для конечной точки, вы можете просто запретить приложениям Office создавать дочерние процессы, включив правило уменьшения уязвимой зоны «BlockOfficeCreateProcessRule».

Согласно Microsoft, сборка Microsoft Defender Antivirus 1.367.851.0 и более поздних версий обеспечивает обнаружение и защиту от возможного использования уязвимостей, таких как:

  • Trojan:Win32/Mesdetty.A(блокирует командную строку msdt)
  • Trojan:Win32/Mesdetty.B(блокирует командную строку msdt)
  • Behavior:Win32/MesdettyLaunch.A!blk (завершает процесс, запустивший командную строку msdt)
  • Trojan:Win32/MesdettyScript.A (для обнаружения файлов HTML, содержащих отбрасываемую подозрительную команду msdt)
  • Trojan:Win32/MesdettyScript.B (для обнаружения файлов HTML, содержащих отбрасываемую подозрительную команду msdt)

Хотя обходные пути, предложенные Microsoft, могут остановить атаки, это все же не надежное решение, поскольку другие мастера устранения неполадок по-прежнему доступны. Чтобы избежать этой угрозы, мы фактически должны отключить и другие мастера устранения неполадок.

Отключить мастера устранения неполадок с помощью редактора групповой политики

Бенджамин Дельфи написал в Твиттере лучшее решение, в котором мы можем отключить другие средства устранения неполадок на нашем ПК с помощью редактора групповой политики.

  • Нажмите Win + R, чтобы открыть диалоговое окно «Выполнить», и введите gpedit.msc чтобы открыть редактор групповой политики.
  • Перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Устранение неполадок и диагностика» > «Диагностика по сценарию».
  • Дважды щелкните Устранение неполадок: разрешить пользователям доступ и запуск мастеров устранения неполадок.
  • Во всплывающем окне установите флажок «Отключено» и нажмите «ОК».

Отключить мастера устранения неполадок с помощью редактора реестра

Если на вашем ПК нет редактора групповой политики, вы можете использовать редактор реестра, чтобы отключить мастера устранения неполадок. Нажмите Win+R, чтобы

  • Запустите диалоговое окно и введите Regedit, чтобы открыть редактор реестра.
  • Перейти к ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • Если вы не видите ключ Scripted Diagnostic в редакторе реестра, щелкните правой кнопкой мыши ключ Safer и выберите «Создать»> «Ключ».
  • Назовите это как ScriptedDiagnostics.
  • Щелкните правой кнопкой мыши Scripted Diagnostics и на правой панели щелкните правой кнопкой мыши пустое место, выберите «Создать»> «Значение Dword (32-разрядное)» и назовите его. EnableDiagnostics. Убедитесь, что его значение 0.
  • Закройте редактор реестра и перезагрузите компьютер.

Надеюсь это поможет.

Уязвимость средства диагностики службы поддержки Microsoft