Orientación para la vulnerabilidad de la herramienta de diagnóstico de soporte de Microsoft CVE-2022-30190: Centro de respuestas de seguridad de Microsoft

El lunes 30 de mayo de 2022, Microsoft emitió CVE-2022-30190 con respecto a la herramienta de diagnóstico de soporte de Microsoft (MSDT) en la vulnerabilidad de Windows.

Existe una vulnerabilidad de ejecución remota de código cuando se llama a MSDT mediante el protocolo URL desde una aplicación de llamada como Word. Un atacante que aproveche con éxito esta vulnerabilidad puede ejecutar código arbitrario con los privilegios de la aplicación que realiza la llamada. Luego, el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.

Soluciones alternativas

Para deshabilitar el protocolo URL de MSDT

La desactivación del protocolo URL de MSDT evita que los solucionadores de problemas se inicien como enlaces, incluidos enlaces en todo el sistema operativo. Aún se puede acceder a los solucionadores de problemas mediante el Obtener aplicación de ayuda y en la configuración del sistema como otros solucionadores de problemas adicionales. Siga estos pasos para desactivar:

  1. Correr Símbolo del sistema como Administrador.
  2. Para hacer una copia de seguridad de la clave de registro, ejecute el comando «reg export HKEY_Classes_ROOTms-msdt Nombre del archivo
  3. Ejecute el comando «reg delete HKEY_Lessons_ROOTms-msdt /f».

Cómo deshacer la solución

  1. Correr Símbolo del sistema como Administrador.
  2. Para hacer una copia de seguridad de la clave de registro, ejecute el comando «reg import Nombre del archivo»

Detecciones y protecciones de Microsoft Defender

Los clientes con Microsoft Defender Antivirus deben activar la protección en la nube y el envío automático de muestras. Estas capacidades utilizan inteligencia artificial y aprendizaje automático para identificar y detener rápidamente amenazas nuevas y desconocidas.

Los clientes de Microsoft Defender para Endpoint pueden habilitar la regla de reducción de superficie de ataque «BlockOfficeCreateProcessRule» que impide que las aplicaciones de Office creen procesos secundarios. La creación de procesos secundarios maliciosos es una estrategia común de malware. Para más información, ver Descripción general de las reglas de reducción de la superficie de ataque.

Antivirus de Microsoft defender proporciona detecciones y protecciones para la posible explotación de vulnerabilidades bajo las siguientes firmas mediante la compilación de detección 1.367.719.o mas nuevo:

  • Troyano:Earn32/Mesdetty.A
  • Troyano:Acquire32/Mesdetty.B
  • Comportamiento: Acquire32/MesdettyLaunch.A
  • Comportamiento: Acquire32/MesdettyLaunch.B
  • Comportamiento: Acquire32/MesdettyLaunch.C

Microsoft Defender para Endpoint proporciona detecciones y alertas a los clientes. El siguiente título de alerta en el portal de Microsoft 365 Defender puede indicar actividad de amenazas en su pink:

  • Comportamiento sospechoso de una aplicación de Workplace
  • Comportamiento sospechoso por Msdt.exe

Preguntas más frecuentes

P: ¿Proteged View y Software Guard para Office brindan protección contra esta vulnerabilidad?

R: Si la aplicación que llama es una aplicación de Microsoft Place of work, de forma predeterminada, Microsoft Workplace abre documentos de World-wide-web en Vista protegida o Protección de aplicaciones para Workplace, los cuales evitan el ataque real.

actualizaremos CVE-2022-30190 con más información.

El equipo MSRC



Fuente del articulo