Microsoft emite aviso de exploração RCE em sua ferramenta de diagnóstico do Windows

Se você já entrou em contato diretamente com o Suporte da Microsoft sobre qualquer problema com seu sistema Windows ou Windows Server, talvez tenha sido solicitado a usar a Ferramenta de diagnóstico de suporte da Microsoft (MSDT). Você pode abri-lo digitando msdt no Windows Run (Win + R), após o qual você será solicitado a inserir uma chave de acesso fornecida por um representante de suporte. Depois de inserir isso, você poderá executar alguns diagnósticos e enviar os resultados diretamente à Microsoft para análise posterior.

No entanto, a Microsoft agora emitiu um aviso sobre uma vulnerabilidade de execução remota de código (RCE) presente no MSDT.

O problema em questão está sendo rastreado para CVE-2022-30190 e tem um nível de gravidade alto. Embora a Microsoft não tenha entrado em detalhes – provavelmente porque a vulnerabilidade ainda não foi corrigida – ela explicou que o RCE pode ocorrer quando o MSDT é invocado usando o protocolo de URL de um aplicativo de chamada, como o Microsoft Word.

Um invasor poderá executar código arbitrário que pode visualizar, excluir ou modificar seus arquivos com os privilégios do aplicativo de chamada. Assim, por exemplo, se o MSDT for invocado por meio do Microsoft Word executado com direitos de administrador, o invasor obterá os mesmos direitos de administrador, o que obviamente não é bom.

Por enquanto, a Microsoft recomenda desabilitar o MSDT com os seguintes comandos, que você pode executar no prompt de comando:

• Execute o prompt de comando como administrador
• Para fazer backup de uma chave do Registro, execute o comando “reg export HKEY_CLASSES_ROOT\ms-msdt filename”.
• Execute o comando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”

No entanto, se mais tarde você achar que prefere correr riscos porque a MSDT é fundamental para seu fluxo de trabalho, poderá reverter a solução alternativa seguindo o processo abaixo:

• Execute o prompt de comando como administrador.
• Para fazer backup de uma chave de registro, execute o comando “reg import filename”.

Atualmente, a Microsoft ainda está trabalhando em uma correção. Foi enfatizado que a vulnerabilidade de segurança está sendo explorada em um ambiente do mundo real, portanto, é importante habilitar a proteção baseada em nuvem e o envio automático de amostras por meio do Microsoft Defender. Enquanto isso, os clientes do Microsoft Defender Endpoint também devem configurar políticas para reduzir a superfície de ataque de processos filho de aplicativos do Office.