Найти в Дзене
Инфософт
818 подписчиков

Microsoft Office zero-day, что это такое и как исправить.

2 мин
Microsoft поделилась мерами по смягчению последствий для блокирования атак, использующих недавно обнаруженный недостаток Microsoft Office zero-day, которым злоупотребляют для удаленного выполнения вредоносного кода. Ошибка представляет собой уязвимость удаленного выполнения кода Microsoft Windows Support Diagnostic Tool (MSDT). Microsoft теперь отслеживает его как CVE-2022-30190. Недостаток влияет на все версии Windows, все еще получающие обновления безопасности (Windows 7+ и Server 2008+). Как обнаружил исследователь безопасности, он используется субъектами для выполнения вредоносных команд PowerShell через MSDT. Атаки произвольного выполнения кода (ACE) происходят при открытии или предварительном просмотре документов Word. "Злоумышленник, который успешно использует эту уязвимость, может запускать произвольный код с приоритетом вызывающего приложения", - объясняет Microsoft. "Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать но
Оглавление

Microsoft поделилась мерами по смягчению последствий для блокирования атак, использующих недавно обнаруженный недостаток Microsoft Office zero-day, которым злоупотребляют для удаленного выполнения вредоносного кода.

Ошибка представляет собой уязвимость удаленного выполнения кода Microsoft Windows Support Diagnostic Tool (MSDT).

Microsoft теперь отслеживает его как CVE-2022-30190. Недостаток влияет на все версии Windows, все еще получающие обновления безопасности (Windows 7+ и Server 2008+).

Как обнаружил исследователь безопасности, он используется субъектами для выполнения вредоносных команд PowerShell через MSDT. Атаки произвольного выполнения кода (ACE) происходят при открытии или предварительном просмотре документов Word.

"Злоумышленник, который успешно использует эту уязвимость, может запускать произвольный код с приоритетом вызывающего приложения", - объясняет Microsoft.

"Затем злоумышленник может устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи в пределах прав, разрешенных правами пользователя".

Доступно решение

По словам Редмонда, администраторы и пользователи могут блокировать атаки, использующие CVE-2022-30190, отключив протокол URL MSDT, который злоумышленники используют для запуска средств устранения неполадок и выполнения кода в уязвимых системах.

Чтобы отключить протокол URL MSDT на устройстве Windows, необходимо выполнить следующую процедуру:

  1. Запустите командную строку от имени администратора.
  2. Чтобы создать резервную копию раздела реестра, выполните команду "reg export HOSTS\ms-msdt filename"
  3. Выполните команду "reg delete INSTALLOS\ms-msdt /f"

После того, как Microsoft выпустит патч CVE-2022-30190, вы можете отменить обходной путь, запустив командную строку и выполнив команду reg import filename (filename - это имя резервной копии реестра, созданной при отключении протокола).

Microsoft Defender Antivirus 1.367.719.0 или новее теперь также поставляется с набором обнаружения для возможного использования уязвимостей под следующими сигнатурами:

  • Троянец: Win32 / Mesdetty.A
  • Троянец:Win32/Mesdetty.B
  • Поведение: Win32 / MesdettyLaunch.A
  • Поведение:Win32/MesdettyLaunch.B
  • Поведение: Win32/MesdettyLaunch.C

Первые атаки, использующие эту ошибку нулевого дня, начались более месяца назад.

Заключение

Понравилась статья? Поставь лайк и подпишись на канал. Ваша поддержка очень важна для продвижения канала.

Подписывайтесь на мой телеграм канал https://t.me/okiinfo