Microsoft publiceert workaround voor zerodaylek in Support Diagnostic Tool

Microsoft heeft aanbevelingen gepubliceerd om de risico's van een pas ontdekt zeroday-beveiligingslek in de Microsoft Support Diagnostic Tool te beperken. Gebruikers kunnen het URL-protocol van MSDT uitschakelen.

Door als beheerder de Command Prompt van Windows te openen en vervolgens reg delete HKEY_CLASSES_ROOT\ms-msdt /f uit te voeren, kunnen gebruikers het URL-protocol van MSDT uitschakelen. Microsoft adviseert eerst een back-up te maken van de registersleutel, door het uitvoeren van reg export HKEY_CLASSES_ROOT\ms-msdt bestandsnaam. Met het commando reg import bestandsnaam is de workaround dan weer ongedaan te maken en kan de hulpsoftware weer gestart worden.

Microsoft publiceert het advies nadat er een zerodaylek was aangetroffen in de Microsoft Support Diagnostic Tool. De kwetsbaarheid betreft het aanroepen van deze tool door middel van een URL, bijvoorbeeld via een Word-document. Een aanvaller die er misbruik van maakt, kan op afstand willekeurige code uitvoeren met de rechten van het programma waarmee het URL-protocol aangeroepen wordt, zoals het genoemde Word. De kwetsbaarheid heeft de aanduiding CVE-2022-30190 gekregen en treft Windows-versies vanaf Windows 7 tot en met Windows 11 en Windows Server 2022.

Beveiligingsonderzoekers ontdekten de kwetsbaarheid in het afgelopen weekend en gaven deze de naam Follina. Het vermoeden was dat het om een Office-kwetsbaarheid ging, maar volgens Microsoft gaat het om de wijze waarop het URL-protocol van MSDT binnen Windows aangeroepen wordt. De onderzoekers troffen een doc-bestand aan met een https:-URL die in feite met JavaScript-code ms-msdt: activeerde, en daarmee de diagnostische tool. Met behulp van de commandline kunnen aanvallers zo de Program Compatibility Troubleshooter starten en tegelijk PowerShell-scripts starten, en zo bijvoorbeeld malware binnenhalen en starten.

Reacties (9)

HKLM_

Microsoft Windows
Microsoft

31 mei 2022 11:51

Voor Business users met Defender for Endpoint zorg dat je ASR op orde is.

Microsoft Defender Detections & Protections

Customers with Microsoft Defender Antivirus should turn-on cloud-delivered protection and automatic sample submission. These capabilities use artificial intelligence and machine learning to quickly identify and stop new and unknown threats.

Customers of Microsoft Defender for Endpoint can enable attack surface reduction rule “BlockOfficeCreateProcessRule” that blocks Office apps from creating child processes. Creating malicious child processes is a common malware strategy. For more information see Attack

Als je je signatures netjes bijwerkt dan zit je als het goed is al op versie 1.367.774.0

Microsoft Defender Antivirus provides detections and protections for possible vulnerability exploitation under the following signatures using detection build 1.367.719.0 or newer

[Reactie gewijzigd door HKLM_ op 22 juli 2024 15:55]

Don van Boven 31 mei 2022 11:56

Zojuist kwam ik onderstaande tip tegen:

I've tested this on my systems and can confirm it's effective at both stopping #Follina exploitation and preventing use of msdt.exe for indirect execution.

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics" /t REG_DWORD /v EnableDiagnostics /d 0

Bron: https://twitter.com/Malwa...?cxt=HHwWhMC9tYfn3MAqAAAA

Of via een GPO: https://admx.help/?Catego...iagnosticsExecutionPolicy

Red Cell @Don van Boven • 15 juni 2022 08:06

Voor mensen die dit later nog lezen. Microsoft heeft in de FAQ op de Microsoft Security Response Center aangegeven dat dit NIET helpt hiertegen.
Alleen de regkey verwijderen helpt.

Q: Is configuring the GPO setting Computer Configuration\Administrative Templates\System\Troubleshooting and Diagnostics\Microsoft Support Diagnostic Tool\”Microsoft Support Diagnostic Tool: Turn on MSDT interactive communication with support provider” to “Disabled” another workaround?

Registry Hive: HKEY_LOCAL_MACHINE
Registry Path: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\
Value Name: DisableQueryRemoteServer
Type: REG_DWORD
Value: 0

A: No, this GPO does not provide protection against this vulnerability. “Interactive communication with support provider” is a special mode MSDT runs in when launched with no parameters which has no impact on MSDT support for URL protocol.

Bron https://msrc-blog.microso...ostic-tool-vulnerability/

[Reactie gewijzigd door Red Cell op 22 juli 2024 15:55]

segil 31 mei 2022 13:52

ik las wel her en der dat deze workaround mogelijk problemen kan geven met de licentie controle in Office richting O365.

[Reactie gewijzigd door segil op 22 juli 2024 15:55]

ZeromaNoiS @segil • 31 mei 2022 13:57

Volgens mij is dit een misverstand. Eén van de security researchers had een screenshotje gepost van zijn test VM om te laten zien dat na het verwijderen van de reg key de exploit gemitigeerd was, in dat screenshot ook een niet gelicenseerde versie van Word 365. Mensen dachten dat de licentiemelding met het verwijderen van de reg key te maken had, dit was dus niet zo. Dit heeft hij naderhand ook nog toegelicht.

[Reactie gewijzigd door ZeromaNoiS op 22 juli 2024 15:55]

segil @ZeromaNoiS • 31 mei 2022 13:59

oh gelukkig, goed nieuws.

Dennisb1 31 mei 2022 15:50

Remove-Item Registry::HKEY_CLASSES_ROOT\ms-msdt -Recurse -Force

Voor de powershell uitrollers onder ons.

maar dit is alleen als je de Support Diagnostic tool gebruikt en die kans is vrij klein.

[Reactie gewijzigd door Dennisb1 op 22 juli 2024 15:55]

delphium

31 mei 2022 20:49

De kwetsbaarheid betreft het aanroepen van deze tool door middel van een URL, bijvoorbeeld via een Word-document. Een aanvaller die er misbruik van maakt, kan op afstand willekeurige code uitvoeren met de rechten van het programma waarmee het URL-protocol aangeroepen wordt, zoals het genoemde Word.

Voorheen werd ik altijd boos, als dergelijke lekken boven water kwamen. Nu begrijp ik, na vele jaren pas, dat voor neurotypische mensen dit soort fouten heel begrijpelijk zijn. Het heeft te maken met dat een neurotypisch iemand de zaken beschouwt vanuit het overzicht en terug werkt naar details, terwijl een autist vaak precies andersom werkt. Dat is de reden dat een autist andere fouten maakt dan een neurotypisch iemand, waar dan de laatste zich weer aan zal ergeren.

Zou het niet fantastisch zijn als we elkaars sterktes (en zwaktes) leren kennen en zo een ultimate team kunnen vormen? Helaas merk ik maar al te vaak dat autisten worden gediscrimineerd, uitgebuit, of genegeerd.

jackldam 1 juni 2022 13:27

Voor hen die dit nog nodig hebben een script dat de voorgestelde workaround toe past van Microsoft:
https://github.com/Jackldam/vulnerability_fixes

en met een restore optie.

[Reactie gewijzigd door jackldam op 22 juli 2024 15:55]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (9)

Sorteer op:

Weergave: