Microsoft mengeluarkan amaran tentang eksploitasi RCE dalam alat diagnostik Windowsnya

Jika anda pernah menghubungi Sokongan Microsoft secara langsung tentang isu tertentu dalam sistem Windows atau Windows Server anda, anda mungkin telah diarahkan untuk menggunakan Alat Diagnostik Sokongan Microsoft (MSDT). Anda boleh membukanya dengan menaip msdt dalam Windows Run (Win + R) dan anda akan diminta untuk memasukkan kata laluan yang diberikan oleh wakil sokongan anda. Sebaik sahaja anda memasukkan maklumat ini, anda akan dapat menjalankan beberapa diagnostik dan menghantar keputusan terus kepada Microsoft untuk analisis lanjut.

Microsoft kini telah mengeluarkan nasihat mengenai kerentanan pelaksanaan kod jauh (RCE) yang wujud dalam MSDT. Cacat keselamatan menjejaskan hampir semua versi Windows dan Windows Server yang disokong, termasuk Windows 7, 8.1, 10, 11, Windows Server 2008, 2012, 2016, 2019 dan 2022.

Isu yang dipersoalkan sedang dikesan di bawah CVE-2022-30190 dan mempunyai tahap keterukan yang tinggi. Walaupun Microsoft masih belum menghuraikannya lagi - mungkin kerana kelemahan itu masih belum ditampal - ia menjelaskan bahawa RCE boleh berlaku apabila MSDT dipanggil menggunakan protokol URL daripada aplikasi panggilan seperti Microsoft Word.

Penyerang akan dapat menjalankan kod sewenang-wenangnya untuk melihat, memadam atau menukar fail anda dengan menghubungi kebenaran aplikasi. Jadi, sebagai contoh, jika MSDT dipanggil dari Microsoft Word berjalan dengan hak pentadbir, penyerang akan mendapat hak pentadbir yang sama - yang jelas buruk.

Pada masa ini, Microsoft mengesyorkan untuk melumpuhkan MSDT melalui arahan berikut yang boleh dijalankan dalam Prompt Perintah:

• Jalankan Prompt Perintah sebagai Pentadbir
• Untuk menyandarkan jadual pendaftaran anda entri, sila laksanakan arahan "reg export HKEY_CLASSES_ROOTms-msdt filename"
• Jalankan arahan "reg delete HKEY_CLASSES_ROOTms-msdt /f"

Walau bagaimanapun, jika anda kemudiannya mendapati bahawa anda akan melakukannya sebaliknya mengambil risiko, Kerana MSDT adalah penting untuk aliran kerja anda, anda boleh memulihkan penyelesaian dengan mengikuti proses ini:

• Jalankan Prompt Perintah sebagai Pentadbir.
• Untuk mengimport semula kunci pendaftaran, laksanakan arahan "reg import filename"

Buat masa ini, Microsoft masih menjalankan pembetulan. Ia menyerlahkan bahawa kelemahan keselamatan sedang dieksploitasi secara meluas, jadi adalah penting untuk mendayakan perlindungan yang disediakan awan dan penyerahan sampel automatik melalui Microsoft Defender. Pada masa yang sama, pelanggan Microsoft Defender untuk Endpoint juga harus mengkonfigurasi dasar untuk mengurangkan permukaan serangan daripada proses anak aplikasi Office.

Atas ialah kandungan terperinci Microsoft mengeluarkan amaran tentang eksploitasi RCE dalam alat diagnostik Windowsnya. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!