Microsoft publiceert workaround voor zerodaylek in Support Diagnostic Tool

Microsoft heeft aanbevelingen gepubliceerd om de risico's van een pas ontdekt zeroday-beveiligingslek in de Microsoft Support Diagnostic Tool te beperken. Gebruikers kunnen het URL-protocol van MSDT uitschakelen.

Door als beheerder de Command Prompt van Windows te openen en vervolgens reg delete HKEY_CLASSES_ROOT\ms-msdt /f uit te voeren, kunnen gebruikers het URL-protocol van MSDT uitschakelen. Microsoft adviseert eerst een back-up te maken van de registersleutel, door het uitvoeren van reg export HKEY_CLASSES_ROOT\ms-msdt bestandsnaam. Met het commando reg import bestandsnaam is de workaround dan weer ongedaan te maken en kan de hulpsoftware weer gestart worden.

Microsoft publiceert het advies nadat er een zerodaylek was aangetroffen in de Microsoft Support Diagnostic Tool. De kwetsbaarheid betreft het aanroepen van deze tool door middel van een URL, bijvoorbeeld via een Word-document. Een aanvaller die er misbruik van maakt, kan op afstand willekeurige code uitvoeren met de rechten van het programma waarmee het URL-protocol aangeroepen wordt, zoals het genoemde Word. De kwetsbaarheid heeft de aanduiding CVE-2022-30190 gekregen en treft Windows-versies vanaf Windows 7 tot en met Windows 11 en Windows Server 2022.

Beveiligingsonderzoekers ontdekten de kwetsbaarheid in het afgelopen weekend en gaven deze de naam Follina. Het vermoeden was dat het om een Office-kwetsbaarheid ging, maar volgens Microsoft gaat het om de wijze waarop het URL-protocol van MSDT binnen Windows aangeroepen wordt. De onderzoekers troffen een doc-bestand aan met een https:-URL die in feite met JavaScript-code ms-msdt: activeerde, en daarmee de diagnostische tool. Met behulp van de commandline kunnen aanvallers zo de Program Compatibility Troubleshooter starten en tegelijk PowerShell-scripts starten, en zo bijvoorbeeld malware binnenhalen en starten.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 31-05-2022 11:30
9 • submitter: Yeebo

31-05-2022 • 11:30

9 Linkedin

Submitter: Yeebo

Lees meer

Microsoft patcht zeroday in Outlook die te misbruiken is zonder actie gebruiker Nieuws van 15 maart 2023
Google patcht actief misbruikte kwetsbaarheid in Chromes WebRTC-component Nieuws van 5 juli 2022
Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen Nieuws van 27 juni 2022
Windows 11-update 22H2 beschikbaar als 'preview build' Nieuws van 7 juni 2022
Microsoft zwijgt week na ontdekking nog over patch voor Follina-bug Nieuws van 7 juni 2022
Hacker zet zero day voor Windows 10 online Nieuws van 23 mei 2019
Microsoft repareert twee zero-day-kwetsbaarheden in Windows Nieuws van 13 maart 2019
Microsoft patcht in augustus verschenen zero-day Nieuws van 12 september 2018
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows Beveiliging Bugs

Reacties (9)

-Moderatie-faq
9
9
6
2
0
2
Wijzig sortering
HKLM_
31 mei 2022 11:51
Voor Business users met Defender for Endpoint zorg dat je ASR op orde is.
Microsoft Defender Detections & Protections

Customers with Microsoft Defender Antivirus should turn-on cloud-delivered protection and automatic sample submission. These capabilities use artificial intelligence and machine learning to quickly identify and stop new and unknown threats.

Customers of Microsoft Defender for Endpoint can enable attack surface reduction rule “BlockOfficeCreateProcessRule” that blocks Office apps from creating child processes. Creating malicious child processes is a common malware strategy. For more information see Attack
Als je je signatures netjes bijwerkt dan zit je als het goed is al op versie 1.367.774.0
Microsoft Defender Antivirus provides detections and protections for possible vulnerability exploitation under the following signatures using detection build 1.367.719.0 or newer

[Reactie gewijzigd door HKLM_ op 31 mei 2022 11:55]

Don van Boven
31 mei 2022 11:56
Zojuist kwam ik onderstaande tip tegen:
I've tested this on my systems and can confirm it's effective at both stopping #Follina exploitation and preventing use of msdt.exe for indirect execution.

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics" /t REG_DWORD /v EnableDiagnostics /d 0
Bron: https://twitter.com/Malwa...?cxt=HHwWhMC9tYfn3MAqAAAA

Of via een GPO: https://admx.help/?Catego...iagnosticsExecutionPolicy
Red Cell
@Don van Boven15 juni 2022 08:06
Voor mensen die dit later nog lezen. Microsoft heeft in de FAQ op de Microsoft Security Response Center aangegeven dat dit NIET helpt hiertegen.
Alleen de regkey verwijderen helpt.
Q: Is configuring the GPO setting Computer Configuration\Administrative Templates\System\Troubleshooting and Diagnostics\Microsoft Support Diagnostic Tool\”Microsoft Support Diagnostic Tool: Turn on MSDT interactive communication with support provider” to “Disabled” another workaround?

Registry Hive: HKEY_LOCAL_MACHINE
Registry Path: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\
Value Name: DisableQueryRemoteServer
Type: REG_DWORD
Value: 0

A: No, this GPO does not provide protection against this vulnerability. “Interactive communication with support provider” is a special mode MSDT runs in when launched with no parameters which has no impact on MSDT support for URL protocol.
Bron https://msrc-blog.microso...ostic-tool-vulnerability/

[Reactie gewijzigd door Red Cell op 15 juni 2022 08:06]

segil
31 mei 2022 13:52
ik las wel her en der dat deze workaround mogelijk problemen kan geven met de licentie controle in Office richting O365.

[Reactie gewijzigd door segil op 31 mei 2022 13:59]

ZeromaNoiS
@segil31 mei 2022 13:57
Volgens mij is dit een misverstand. Eén van de security researchers had een screenshotje gepost van zijn test VM om te laten zien dat na het verwijderen van de reg key de exploit gemitigeerd was, in dat screenshot ook een niet gelicenseerde versie van Word 365. Mensen dachten dat de licentiemelding met het verwijderen van de reg key te maken had, dit was dus niet zo. Dit heeft hij naderhand ook nog toegelicht.

[Reactie gewijzigd door ZeromaNoiS op 31 mei 2022 13:58]

segil
@ZeromaNoiS31 mei 2022 13:59
oh gelukkig, goed nieuws.
Dennisb1
31 mei 2022 15:50
Remove-Item Registry::HKEY_CLASSES_ROOT\ms-msdt -Recurse -Force

Voor de powershell uitrollers onder ons.

maar dit is alleen als je de Support Diagnostic tool gebruikt en die kans is vrij klein.

[Reactie gewijzigd door Dennisb1 op 31 mei 2022 15:51]

delphium
31 mei 2022 20:49
De kwetsbaarheid betreft het aanroepen van deze tool door middel van een URL, bijvoorbeeld via een Word-document. Een aanvaller die er misbruik van maakt, kan op afstand willekeurige code uitvoeren met de rechten van het programma waarmee het URL-protocol aangeroepen wordt, zoals het genoemde Word.
Voorheen werd ik altijd boos, als dergelijke lekken boven water kwamen. Nu begrijp ik, na vele jaren pas, dat voor neurotypische mensen dit soort fouten heel begrijpelijk zijn. Het heeft te maken met dat een neurotypisch iemand de zaken beschouwt vanuit het overzicht en terug werkt naar details, terwijl een autist vaak precies andersom werkt. Dat is de reden dat een autist andere fouten maakt dan een neurotypisch iemand, waar dan de laatste zich weer aan zal ergeren.

Zou het niet fantastisch zijn als we elkaars sterktes (en zwaktes) leren kennen en zo een ultimate team kunnen vormen? Helaas merk ik maar al te vaak dat autisten worden gediscrimineerd, uitgebuit, of genegeerd.
jackldam
1 juni 2022 13:27
Voor hen die dit nog nodig hebben een script dat de voorgestelde workaround toe past van Microsoft:
https://github.com/Jackldam/vulnerability_fixes

en met een restore optie.

[Reactie gewijzigd door jackldam op 1 juni 2022 13:28]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee