Microsoft выпускает предупреждение об эксплойте RCE в своем диагностическом инструменте Windows

Если вы когда-либо обращались в службу поддержки Microsoft напрямую по поводу какой-либо проблемы в вашей системе Windows или Windows Server, возможно, вам было предложено использовать средство диагностики поддержки Microsoft (MSDT). Вы можете открыть его, набрав msdt в Windows Run (Win + R), после чего вам будет предложено ввести пароль, предоставленный представителем службы поддержки. Как только вы введете это, вы сможете запустить некоторую диагностику и отправить результаты непосредственно в Microsoft для дальнейшего анализа.

backdoor windows

Однако теперь Microsoft выпустила предупреждение об уязвимости удаленного выполнения кода (RCE), присутствующей в MSDT. Уязвимость затрагивает практически все поддерживаемые версии Windows и Windows Server, включая Windows 7, 8.1, 10, 11, Windows Server 2008, 2012, 2016, 2019 и 2022.

Рассматриваемая проблема отслеживается в соответствии с CVE-2022-30190 и имеет высокий уровень серьезности. Хотя Microsoft не вдавалась в подробности — вероятно, потому, что уязвимость еще не была исправлена, — они объяснили, что RCE может произойти, когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Microsoft Word.

Злоумышленник сможет запустить произвольный код, который может просматривать, удалять или изменять ваши файлы с помощью привилегий вызывающего приложения. Так, например, если MSDT вызывается через Microsoft Word, запущенный с правами администратора, злоумышленник получит те же права администратора, что, очевидно, нехорошо.

На данный момент Microsoft рекомендует отключить MSDT с помощью следующих команд, которые вы можете запустить в командной строке:

  1. Запустите командную строку от имени администратора.
  2. Чтобы создать резервную копию раздела реестра, выполните команду reg export HKEY_CLASSES_ROOT\ms-msdt filename.
  3. Выполните команду reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

Однако, если вы предпочитаете рисковать, поскольку MSDT имеет решающее значение для вашего рабочего процесса, вы можете отменить обходной путь, выполнив следующий процесс:

  • Запустите командную строку от имени администратора.
  • Чтобы повторно импортировать раздел реестра, выполните команду reg import filename.

В настоящее время Microsoft все еще работает над исправлением. Было подчеркнуто, что уязвимость в системе безопасности используется в реальных условиях, поэтому важно включить облачную защиту и автоматическую отправку образцов через Microsoft Defender. Между тем, клиенты Microsoft Defender для конечных точек также должны настроить политики, чтобы уменьшить поверхность атаки со стороны дочерних процессов приложений Office.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Прокрутить вверх