Η Microsoft μοιράστηκε μέτρα μετριασμού για τον αποκλεισμό επιθέσεων που εκμεταλλεύονται ένα ελάττωμα μηδενικής ημέρας του Microsoft Office που ανακαλύφθηκε πρόσφατα και το οποίο καταχράστηκε στην άγρια φύση για την εκτέλεση κακόβουλου κώδικα εξ αποστάσεως.
Το σφάλμα είναι μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του Microsoft Windows Support Diagnostic Tool (MSDT) που αναφέρθηκε από τον crazyman της ομάδας Shadow Chaser.
Η Microsoft το παρακολουθεί τώρα ως CVE-2022-30190. Το ελάττωμα επηρεάζει όλες τις εκδόσεις των Windows που εξακολουθούν να λαμβάνουν ενημερώσεις ασφαλείας (Windows 7+ και Server 2008+).
Όπως διαπίστωσε ο ερευνητής ασφάλειας nao_sec , χρησιμοποιείται από παράγοντες απειλών για την εκτέλεση κακόβουλων εντολών του PowerShell μέσω MSDT σε αυτό που ο Redmond περιγράφει ως επιθέσεις Arbitrary Code Execution (ACE) κατά το άνοιγμα ή την προεπισκόπηση εγγράφων του Word.
“Ένας εισβολέας που εκμεταλλεύεται με επιτυχία αυτήν την ευπάθεια μπορεί να εκτελέσει αυθαίρετο κώδικα με τα προνόμια της εφαρμογής κλήσης”, εξηγεί.
“Ο εισβολέας μπορεί στη συνέχεια να εγκαταστήσει προγράμματα, να προβάλει, να αλλάξει ή να διαγράψει δεδομένα ή να δημιουργήσει νέους λογαριασμούς στο πλαίσιο που επιτρέπεται από τα δικαιώματα του χρήστη.”
Διαθέσιμη λύση
Σύμφωνα με την Microsoft, οι διαχειριστές και οι χρήστες μπορούν να αποκλείουν επιθέσεις που εκμεταλλεύονται το CVE-2022-30190 απενεργοποιώντας το πρωτόκολλο URL MSDT, το οποίο χρησιμοποιούν κακόβουλοι παράγοντες για την εκκίνηση προγραμμάτων αντιμετώπισης προβλημάτων και την εκτέλεση κώδικα σε ευάλωτα συστήματα.
Για να απενεργοποιήσετε το πρωτόκολλο URL MSDT σε μια συσκευή Windows, πρέπει να ακολουθήσετε την ακόλουθη διαδικασία:
- Εκτελέστε τη γραμμή εντολών ως διαχειριστής.
- Για να δημιουργήσετε αντίγραφο ασφαλείας του κλειδιού μητρώου, εκτελέστε την εντολή “reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg“
- Εκτελέστε την εντολή “reg delete HKEY_CLASSES_ROOT\ms-msdt /f“
Αφού η Microsoft εκδώσει μια ενημερωμένη έκδοση κώδικα CVE-2022-30190, μπορεί να αναιρέσει τη λύση εκκινώντας μια ανυψωμένη γραμμή εντολών και εκτελώντας την εντολή reg import ms-msdt.reg (όνομα αρχείου είναι το όνομα του αντιγράφου ασφαλείας του μητρώου που δημιουργήθηκε κατά την απενεργοποίηση του πρωτοκόλλου).
Το Microsoft Defender Antivirus 1.367.719.0 ή νεότερο τώρα συνοδεύεται από ανιχνεύσεις για πιθανή εκμετάλλευση ευπάθειας με τις ακόλουθες υπογραφές:
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Συμπεριφορά:Win32/MesdettyLaunch.A
- Behavior:WindettyLaunch.B.
- Συμπεριφορά:Win32/MesdettyLaunch.C
Ενώ η Microsoft λέει ότι η προστατευμένη προβολή και η προστασία εφαρμογών του Microsoft Office θα μπλοκάρουν τις επιθέσεις CVE-2022-30190, ο αναλυτής ευπάθειας CERT/CC Will Dormann (και άλλα ερευνητές) διαπίστωσαν ότι η δυνατότητα ασφαλείας δεν θα μπλοκάρει τις προσπάθειες εκμετάλλευσης εάν ο στόχος κάνει προεπισκόπηση των κακόβουλων εγγράφων στην Εξερεύνηση των Windows.
Επομένως, συνιστάται να απενεργοποιήσετε το παράθυρο προεπισκόπησης στην Εξερεύνηση των Windows για να καταργήσετε επίσης αυτό το διάνυσμα επίθεσης.
Σύμφωνα με το Shadow Chaser Group, τους ερευνητές που εντόπισαν και ανέφεραν για πρώτη φορά το zero-day τον Απρίλιο, η Microsoft πρώτα επισήμανε το ελάττωμα ως “θέμα που δεν σχετίζεται με την ασφάλεια”. Ωστόσο, αργότερα έκλεισε την αναφορά υποβολής ευπάθειας με μια απομακρυσμένη εκτέλεση κώδικα αντίκτυπο.
Οι πρώτες επιθέσεις που εκμεταλλεύονται αυτό το σφάλμα μηδενικής ημέρας ξεκίνησαν πριν από περισσότερο από ένα μήνα χρησιμοποιώντας προσκλήσεις για συνεντεύξεις στο ραδιόφωνο Sputnik και απειλές εκβιασμού ως δέλεαρ.