Microsoft выпускает предупреждение об эксплойте RCE в своем диагностическом инструменте Windows

Если вы когда-либо обращались в службу поддержки Microsoft напрямую по поводу какой-либо проблемы в вашей системе Windows или Windows Server, возможно, вам было предложено использовать средство диагностики поддержки Microsoft (MSDT). Вы можете открыть его, набрав msdt в Windows Run (Win + R), после чего вам будет предложено ввести пароль, предоставленный представителем службы поддержки. Как только вы введете это, вы сможете запустить некоторую диагностику и отправить результаты непосредственно в Microsoft для дальнейшего анализа.

Однако теперь Microsoft выпустила предупреждение об уязвимости удаленного выполнения кода (RCE), присутствующей в MSDT. Уязвимость затрагивает практически все поддерживаемые версии Windows и Windows Server, включая Windows 7, 8.1, 10, 11, Windows Server 2008, 2012, 2016, 2019 и 2022.

Рассматриваемая проблема отслеживается в соответствии с CVE-2022-30190 и имеет высокий уровень серьезности. Хотя Microsoft не вдавалась в подробности — вероятно, потому, что уязвимость еще не была исправлена, — они объяснили, что RCE может произойти, когда MSDT вызывается с использованием протокола URL из вызывающего приложения, такого как Microsoft Word.

Злоумышленник сможет запустить произвольный код, который может просматривать, удалять или изменять ваши файлы с помощью привилегий вызывающего приложения. Так, например, если MSDT вызывается через Microsoft Word, запущенный с правами администратора, злоумышленник получит те же права администратора, что, очевидно, нехорошо.

На данный момент Microsoft рекомендует отключить MSDT с помощью следующих команд, которые вы можете запустить в командной строке:

1. Запустите командную строку от имени администратора.
2. Чтобы создать резервную копию раздела реестра, выполните команду reg export HKEY_CLASSES_ROOT\ms-msdt filename.
3. Выполните команду reg delete HKEY_CLASSES_ROOT\ms-msdt /f.

Однако, если вы предпочитаете рисковать, поскольку MSDT имеет решающее значение для вашего рабочего процесса, вы можете отменить обходной путь, выполнив следующий процесс:

• Запустите командную строку от имени администратора.
• Чтобы повторно импортировать раздел реестра, выполните команду reg import filename.

В настоящее время Microsoft все еще работает над исправлением. Было подчеркнуто, что уязвимость в системе безопасности используется в реальных условиях, поэтому важно включить облачную защиту и автоматическую отправку образцов через Microsoft Defender. Между тем, клиенты Microsoft Defender для конечных точек также должны настроить политики, чтобы уменьшить поверхность атаки со стороны дочерних процессов приложений Office.