راهنمای آسیب‌پذیری ابزار تشخیصی پشتیبانی مایکروسافت CVE-2022-30190

دسته بندی ها : Uncategorized, آسیب پذیری, اخبار ۱۳ خرداد ۱۴۰۱ آپا دانشگاه تبریز 58 بازدید
مایکروسافت لوگو

در دوشنبه ۳۰ می ۲۰۲۲، مایکروسافت CVE-2022-30190 را در مورد ابزار تشخیصی پشتیبانی مایکروسافت (MSDT) در آسیب‌پذیری ویندوز منتشر کرد.

در هنگامی که MSDT با استفاده از پروتکل URL از یک برنامه فراخوانی مانند Word فراخوانی می شود، آسیب پذیری اجرای کد از راه دور وجود دارد. مهاجمی که با موفقیت از این آسیب‌پذیری سوء استفاده می‌کند، می‌تواند کد دلخواه را با امتیازات برنامه نامیده شده را اجرا کند. سپس مهاجم می‌تواند برنامه‌ها را نصب کند، داده‌ها را مشاهده کند، تغییر دهد یا حذف کند، یا حساب‌های جدیدی را در حوزه هایی که کاربران قانونی اجازه دسترسی به آن دارند، ایجاد کند.

راه حل ها

 

غیرفعال کردن پروتکل URL MSDT

غیرفعال کردن پروتکل URL MSDT از راه‌اندازی عیب‌یاب‌ها به‌عنوان لینک هایی در سراسر سیستم عامل جلوگیری می‌کند. هنوز هم می توان با استفاده از برنامه Get Help و در تنظیمات سیستم به عنوان عیب یاب های دیگر یا علاوه بر عیب یاب ها دسترسی داشت. برای غیر فعال کردن این پروتکل باید مراحل زیر را دنبال کنید:

۱. Command Prompt را با دسترسی Administrator اجرا کنید.
۲. برای پشتیبان گیری از کلید رجیستری، دستور “reg export HKEY_CLASSES_ROOT\ms-msdt filename” را اجرا کنید.
۳. دستور “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” را اجرا کنید.

برای لغو راه حل انجام شده می توان مراحل زیر را دنبال کرد :

۱. Command Prompt را به عنوان Administrator اجرا کنید.
۲. برای بازیابی کلید رجیستری، دستور “reg import filename” را اجرا کنید.

شناسایی و محافظت توسط Microsoft Defender

مشتریان دارای آنتی ویروس Microsoft Defender باید حفاظت ارائه شده توسط ابر (cloud ( و ارسال خودکار نمونه را روشن کنند. این قابلیت ها از هوش مصنوعی و یادگیری ماشینی برای شناسایی سریع و توقف تهدیدات جدید و ناشناخته استفاده می کنند.

مشتریان Microsoft Defender برای دستگاه های انتهایی می توانند قانون کاهش سطح حمله “”BlockOfficeCreateProcessRuleرا فعال کنند که برنامه های آفیس را از ایجاد پروسه های فرزند ( (childمسدود می کند. ایجاد فرآیندهای فرزند مخرب یک استراتژی بدافزاری رایج است. برای اطلاعات بیشتر به مرور قوانین کاهش سطح حمله مراجعه کنید.

آنتی ویروس Microsoft Defender با استفاده از ساخت ابزار تشخیص ۱.۳۶۷.۷۱۹.۰ یا جدیدتر، شناسایی ها و محافظت هایی را برای سوء استفاده های احتمالی از آسیب پذیری تحت امضاهای زیر فراهم می کند:

Trojan Win32/Mesdetty.A : (خط فرمان msdt را مسدود می کند)
Trojan Win32/Mesdetty.B : (خط فرمان msdt را مسدود می کند.

رفتار Win32/MesdettyLaunch.A!blk : (فرآیندی که خط فرمان msdt را راه اندازی کرد خاتمه می دهد)

Trojan:Win32/MesdettyScript.A: (برای حذف فایل های HTML که حاوی دستور مشکوک msdt در حال حذف شدن هستند)
Trojan:Win32/MesdettyScript.B: (برای حذف فایل های HTML که حاوی دستور مشکوک msdt در حال حذف شدن هستند)

Microsoft Defender for Endpoint شناسایی و هشدار را به مشتریان ارائه می دهد. عنوان هشدار زیر در پورتال Microsoft 365 Defender می تواند فعالیت تهدید در شبکه شما را نشان دهد:
رفتار مشکوک توسط یک برنامه آفیس
رفتار مشکوک توسط Msdt.exe

FAQ

سوال : آیا نمایش محافظت شده و محافظ برنامه برای آفیس از این آسیب پذیری محافظت می کند؟

پاسخ : اگر برنامه تماس گیرنده یک برنامه مایکروسافت آفیس باشد، به طور پیش فرض، مایکروسافت آفیس اسنادی را از اینترنت در نمای محافظت شده یا Application Guard for Office باز می کند که هر دو از حمله فعلی جلوگیری می کنند.

برای اطلاعات در مورد نمای محافظت شده، نگاه کنید به نمای محافظت شده چیست؟
برای اطلاعات در مورد Application Guard for Office، Application Guard for Office را ببینید.

ما CVE-2022-30190 را با اطلاعات بیشتر به روز خواهیم کرد.

 

اخبار آسیب‌پذی‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها دنبال کنید.

 

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :