Microsoft, MSDT’de (Microsoft Destek Tanılama Aracı) yeni keşfedilen bir güvenlik açığı için kılavuz yayınladı. Bu güvenlik açığı yakın zamanda araştırmacılar tarafından keşfedildi ve bir Sıfır Gün Uzaktan Kod Yürütme güvenlik açığı olarak tanımlandı ve Microsoft şimdi bunu CVE-2022-30190 olarak izliyor. Bu güvenlik açığının, MSDT URI protokolünün etkin olduğu tüm Windows PC sürümlerini etkileyebileceği bildiriliyor.

MSRC tarafından gönderilen blog gönderisine göre, MS Word gibi çağrı yapan uygulamalardan URL protokolü kullanılarak Microsoft Destek Tanılama Aracı çağrıldığında bilgisayarınız bu saldırıya karşı savunmasız hale gelir. Saldırganlar, MSDT URL protokolünü kullanan hazırlanmış URL’ler aracılığıyla bu güvenlik açığından yararlanabilir.

“Bu güvenlik açığından başarıyla yararlanan bir saldırgan, çağıran uygulamanın ayrıcalıklarıyla rasgele kod çalıştırabilir. Saldırgan daha sonra programları yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da kullanıcı haklarının izin verdiği bağlamda yeni hesaplar oluşturabilir” diyor. Microsoft.

İşin iyi yanı, Microsoft’un bu güvenlik açığı için birkaç geçici çözüm yayınlamış olmasıdır.

Windows’u Microsoft Destek Tanılama Aracı Güvenlik Açığı’ndan Koruyun

MSDT URL Protokolünü devre dışı bırakın

Saldırganlar bu güvenlik açığından MSDT URL protokolü aracılığıyla yararlanabildiklerinden, MSDT URL Protokolü devre dışı bırakılarak bu güvenlik açığı düzeltilebilir. Bunu yapmak, sorun gidericileri bağlantı olarak başlatmaz. Ancak yine de sisteminizdeki Yardım Al özelliğini kullanarak sorun gidericilere erişebilirsiniz.

MSDT URL Protokolünü devre dışı bırakmak için:

  • Windows Arama seçeneğine CMD yazın ve Yönetici Olarak Çalıştır’a tıklayın.
  • İlk önce, komutu çalıştırın, reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg kayıt defteri anahtarını yedeklemek için.
  • Ve sonra, komutu yürütün reg delete HKEY_CLASSES_ROOTms-msdt /f.

Bunu geri almak istiyorsanız, Komut İstemini tekrar Yönetici olarak çalıştırın ve komutu yürütün, reg import regbackupmsdt.reg. Önceki komutta kullandığınız dosya adını kullanmayı unutmayın.

Microsoft Defender Algılamaları ve Korumalarını açın

Bu güvenlik açığından kaçınmak için yapabileceğiniz bir sonraki şey, bulut tarafından sağlanan korumayı ve otomatik numune gönderimini açmaktır. Bunu yaparak, makineniz yapay zeka kullanarak olası tehditleri hızlı bir şekilde tespit edebilir ve durdurabilir.

Endpoint için Microsoft Defender müşterileriyseniz, saldırı yüzeyi azaltma kuralını etkinleştirerek Office uygulamalarının alt süreçler oluşturmasını engelleyebilirsiniz.BlockOfficeCreateProcessRule”.

Microsoft’a göre, Microsoft Defender Antivirus 1.367.851.0 ve sonraki sürümleri oluşturur, aşağıdakiler gibi olası güvenlik açığından yararlanma için algılamalar ve korumalar sağlar:

  • Trojan:Win32/Mesdetty.A(msdt komut satırını engeller)
  • Trojan:Win32/Mesdetty.B(msdt komut satırını engeller)
  • Behavior:Win32/MesdettyLaunch.A!blk (msdt komut satırını başlatan işlemi sonlandırır)
  • Trojan:Win32/MesdettyScript.A (msdt şüpheli komutu içeren HTML dosyalarının bırakıldığını algılamak için)
  • Trojan:Win32/MesdettyScript.B (msdt şüpheli komutu içeren HTML dosyalarının bırakıldığını algılamak için)

Microsoft tarafından önerilen geçici çözümler saldırıları durdurabilse de, diğer sorun giderme sihirbazlarına hala erişilebilir olduğundan, yine de kusursuz bir çözüm değildir. Bu tehdidi önlemek için, aslında diğer Sorun Giderme Sihirbazlarını da devre dışı bırakmamız gerekiyor.

Grup İlkesi Düzenleyicisini Kullanarak Sorun Giderme Sihirbazlarını Devre Dışı Bırakın

Benjamin Delphy, Grup İlkesi Düzenleyicisini kullanarak bilgisayarımızdaki diğer Sorun Gidericileri devre dışı bırakabileceğimiz daha iyi bir çözümü tweetledi.

  • Çalıştır İletişim Kutusunu açmak için Win+R tuşlarına basın ve şunu yazın gpedit.msc Grup İlkesi Düzenleyicisini açmak için
  • Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Sorun Giderme ve Tanılama > Komut Dosyalı Tanılama’ya gidin
  • Sorun Giderme’ye çift tıklayın: Kullanıcıların Sorun Giderme Sihirbazlarına erişmesine ve bunları çalıştırmasına izin verin
  • Açılan pencerede Devre Dışı kutusunu işaretleyin ve Tamam’a tıklayın.

Kayıt Defteri Düzenleyicisini Kullanarak Sorun Giderme Sihirbazlarını Devre Dışı Bırakın

Bilgisayarınızda Grup İlkesi Düzenleyicisi yoksa, Sorun Giderme Sihirbazlarını devre dışı bırakmak için Kayıt Defteri Düzenleyicisi’ni kullanabilirsiniz. için Win+R’ye basın

  • İletişim kutusunu çalıştırın ve Kayıt Defteri Düzenleyicisi’ni açmak için Regedit yazın.
  • git ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • Kayıt Defteri Düzenleyicinizde Scripted Diagnostic anahtarını görmüyorsanız, Daha Güvenli anahtarına sağ tıklayın ve Yeni > Anahtar’a tıklayın.
  • olarak adlandır ScriptedDiagnostics.
  • Scripted Diagnostics’e sağ tıklayın ve sağ bölmede, boş alana sağ tıklayın ve Yeni> Dword (32-bit) Değeri’ni seçin ve adlandırın EnableDiagnostics. değerinin olduğundan emin olun. 0.
  • Kayıt Defteri Düzenleyicisini kapatın ve bilgisayarınızı yeniden başlatın.

Bu yardımcı olur umarım.

Microsoft Destek Tanılama Aracı Güvenlik Açığı