راهنمای آسیبپذیری ابزار تشخیصی پشتیبانی مایکروسافت CVE-2022-30190
در دوشنبه ۳۰ می ۲۰۲۲، مایکروسافت CVE-2022-30190 را در مورد ابزار تشخیصی پشتیبانی مایکروسافت (MSDT) در آسیبپذیری ویندوز منتشر کرد.
در هنگامی که MSDT با استفاده از پروتکل URL از یک برنامه فراخوانی مانند Word فراخوانی می شود، آسیب پذیری اجرای کد از راه دور وجود دارد. مهاجمی که با موفقیت از این آسیبپذیری سوء استفاده میکند، میتواند کد دلخواه را با امتیازات برنامه نامیده شده را اجرا کند. سپس مهاجم میتواند برنامهها را نصب کند، دادهها را مشاهده کند، تغییر دهد یا حذف کند، یا حسابهای جدیدی را در حوزه هایی که کاربران قانونی اجازه دسترسی به آن دارند، ایجاد کند.
راه حل ها
غیرفعال کردن پروتکل URL MSDT
غیرفعال کردن پروتکل URL MSDT از راهاندازی عیبیابها بهعنوان لینک هایی در سراسر سیستم عامل جلوگیری میکند. هنوز هم می توان با استفاده از برنامه Get Help و در تنظیمات سیستم به عنوان عیب یاب های دیگر یا علاوه بر عیب یاب ها دسترسی داشت. برای غیر فعال کردن این پروتکل باید مراحل زیر را دنبال کنید:
۱. Command Prompt را با دسترسی Administrator اجرا کنید.
۲. برای پشتیبان گیری از کلید رجیستری، دستور “reg export HKEY_CLASSES_ROOT\ms-msdt filename” را اجرا کنید.
۳. دستور “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” را اجرا کنید.
برای لغو راه حل انجام شده می توان مراحل زیر را دنبال کرد :
۱. Command Prompt را به عنوان Administrator اجرا کنید.
۲. برای بازیابی کلید رجیستری، دستور “reg import filename” را اجرا کنید.
شناسایی و محافظت توسط Microsoft Defender
مشتریان دارای آنتی ویروس Microsoft Defender باید حفاظت ارائه شده توسط ابر (cloud ( و ارسال خودکار نمونه را روشن کنند. این قابلیت ها از هوش مصنوعی و یادگیری ماشینی برای شناسایی سریع و توقف تهدیدات جدید و ناشناخته استفاده می کنند.
مشتریان Microsoft Defender برای دستگاه های انتهایی می توانند قانون کاهش سطح حمله “”BlockOfficeCreateProcessRuleرا فعال کنند که برنامه های آفیس را از ایجاد پروسه های فرزند ( (childمسدود می کند. ایجاد فرآیندهای فرزند مخرب یک استراتژی بدافزاری رایج است. برای اطلاعات بیشتر به مرور قوانین کاهش سطح حمله مراجعه کنید.
آنتی ویروس Microsoft Defender با استفاده از ساخت ابزار تشخیص ۱.۳۶۷.۷۱۹.۰ یا جدیدتر، شناسایی ها و محافظت هایی را برای سوء استفاده های احتمالی از آسیب پذیری تحت امضاهای زیر فراهم می کند:
Trojan Win32/Mesdetty.A : (خط فرمان msdt را مسدود می کند)
Trojan Win32/Mesdetty.B : (خط فرمان msdt را مسدود می کند.
رفتار Win32/MesdettyLaunch.A!blk : (فرآیندی که خط فرمان msdt را راه اندازی کرد خاتمه می دهد)
Trojan:Win32/MesdettyScript.A: (برای حذف فایل های HTML که حاوی دستور مشکوک msdt در حال حذف شدن هستند)
Trojan:Win32/MesdettyScript.B: (برای حذف فایل های HTML که حاوی دستور مشکوک msdt در حال حذف شدن هستند)
Microsoft Defender for Endpoint شناسایی و هشدار را به مشتریان ارائه می دهد. عنوان هشدار زیر در پورتال Microsoft 365 Defender می تواند فعالیت تهدید در شبکه شما را نشان دهد:
رفتار مشکوک توسط یک برنامه آفیس
رفتار مشکوک توسط Msdt.exe
FAQ
سوال : آیا نمایش محافظت شده و محافظ برنامه برای آفیس از این آسیب پذیری محافظت می کند؟
پاسخ : اگر برنامه تماس گیرنده یک برنامه مایکروسافت آفیس باشد، به طور پیش فرض، مایکروسافت آفیس اسنادی را از اینترنت در نمای محافظت شده یا Application Guard for Office باز می کند که هر دو از حمله فعلی جلوگیری می کنند.
برای اطلاعات در مورد نمای محافظت شده، نگاه کنید به نمای محافظت شده چیست؟
برای اطلاعات در مورد Application Guard for Office، Application Guard for Office را ببینید.
ما CVE-2022-30190 را با اطلاعات بیشتر به روز خواهیم کرد.
اخبار آسیبپذیها را از وبسایت آپا بخش آسیبپذیریها دنبال کنید.
نظرات کاربران