Ejecución remota de código en Microsoft Windows Support Diagnostic Tool (MSDT)

Microsoft ha publicado una vulnerabilidad de ejecución remota de código que podría permitir a un atacante ejecutar código arbitrario con los privilegios de la aplicación e instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.

Remediación

Medidas de mitigación:

  • Desactivar el protocolo URL de MSDT impide que los solucionadores de problemas se lancen como enlaces, incluidos los enlaces en todo el sistema operativo. Se puede seguir accediendo a los solucionadores de problemas mediante la aplicación Obtener ayuda y en la configuración del sistema como otros solucionadores de problemas o adicionales. Siga estos pasos para desactivarlo:
    • ejecutar el símbolo del sistema como administrador,
    • ejecutar el comando ‘reg export HKEY_CLASSES_ROOT\ms-msdt filename’ para hacer una copia de seguridad de la clave del registro,
    • ejecutar el comando ‘reg delete HKEY_CLASSES_ROOT\ms-msdt /f’.
  • Para revertir el proceso:
    • ejecutar el símbolo del sistema como administrador,
    • ejecutar el comando ‘reg import filename’ para hacer una copia de seguridad de la clave del registro.

Medidas de detección y protección:

  • Los clientes con Microsoft Defender Antivirus deben activar la protección en la nube y el envío automático de muestras, ya que estas funciones utilizan la inteligencia artificial y el aprendizaje automático para identificar y detener rápidamente las amenazas nuevas y desconocidas.
  • Los clientes de Microsoft Defender para Endpoint pueden activar la regla de reducción de la superficie de ataque ‘BlockOfficeCreateProcessRule’, que bloquea la creación de procesos hijo por parte de las aplicaciones de Office. La creación de procesos hijo maliciosos es una estrategia común del malware. Para obtener más información, consulte la ‘Descripción de las reglas de reducción de la superficie de ataque’.
  • El antivirus Microsoft Defender proporciona detecciones y protecciones para la posible explotación de vulnerabilidades bajo las siguientes firmas utilizando la compilación de detección 1.367.719.0 o más reciente:
    • Trojan:Win32/Mesdetty.A,
    • Troyano:Win32/Mesdetty.B,
    • Comportamiento:Win32/MesdettyLaunch.A,
    • Comportamiento:Win32/MesdettyLaunch.B,
    • Comportamiento:Win32/MesdettyLaunch.C.
  • Microsoft Defender para Endpoint proporciona a los clientes detecciones y alertas. Los siguientes mensajes de alerta en el portal de Microsoft 365 Defender pueden indicar actividad ilícita en su red:
    • comportamiento sospechoso de una aplicación de Office,
    • comportamiento sospechoso de Msdt.exe.

Fuente: Incibe