Microsoft выпускает предупреждение об эксплойте RCE в Microsoft Support Diagnostic Tool
Если вы когда-либо обращались в службу поддержки Microsoft напрямую по поводу какой-либо проблемы в вашей системе Windows или Windows Server, возможно, вам было предложено использовать Microsoft Support Diagnostic Tool (MSDT). Вы можете открыть его, набрав msdt в Windows Run (Win + R), после чего вам будет предложено ввести пароль, предоставленный представителем службы поддержки. Как только вы введете его, вы сможете запустить некоторую диагностику и отправить результаты непосредственно в Microsoft для дальнейшего анализа.
Однако теперь Microsoft выпустила предупреждение об уязвимости удаленного выполнения кода (RCE), присутствующей в MSDT. Уязвимость безопасности затрагивает практически все поддерживаемые версии Windows и Windows Server, включая Windows 7, 8.1, 10, 11, Windows Server 2008, 2012, 2016, 2019 и 2022.
Рассматриваемая проблема помечена как CVE-2022-30190 и имеет высокий уровень серьезности. Хотя Microsoft не вдавалась в подробности — вероятно, потому, что уязвимость еще не была исправлена, — она объяснила, что RCE может произойти, когда MSDT вызывается с помощью протокола URL из вызывающего приложения, такого как Microsoft Word.
Злоумышленник сможет запустить произвольный код, который может просматривать, удалять или изменять ваши файлы с помощью привилегий вызывающего приложения. Так, например, если MSDT вызывается через приложение Microsoft Word, запущенное с правами администратора, злоумышленник получит те же права администратора, что, очевидно, нехорошо.
На данный момент Microsoft рекомендует отключить MSDT с помощью следующих команд, которые вы можете запустить в командной строке:
• Запустите командную строку от имени администратора;
• Чтобы создать резервную копию раздела реестра, выполните команду «reg export HKEY_CLASSES_ROOT\ms-msdt filename»;
• Выполните команду «reg delete HKEY_CLASSES_ROOT\ms-msdt /f»;
Однако, если позже вы обнаружите, что предпочитаете рисковать, поскольку MSDT имеет решающее значение для вашего рабочего процесса, вы можете отменить обходной путь, выполнив следующий процесс:
• Запустите командную строку от имени администратора;
• Чтобы повторно импортировать раздел реестра, выполните команду «reg import filename»;
В настоящее время Microsoft все еще работает над исправлением. Было подчеркнуто, что уязвимость безопасности используется в реальных условиях, поэтому важно включить облачную защиту и автоматическую отправку образцов через Microsoft Defender. Между тем, клиенты Microsoft Defender for Endpoint также должны настроить политики, чтобы уменьшить вероятность атак со стороны дочерних процессов приложений Office.
msreview.net
»» Нажмите, для закрытия спойлера | Press to close the spoiler ««