Alerta de amenaza de CyOps: La reciente vulnerabilidad de día cero de MSDT

• jueves 21 julio, 2022

Revelado el 30 de mayo , CVE-2022-30190 es un abuso de Microsoft Office, que permite a los actores de amenazas iniciar el controlador de protocolo URI ‘ms-msdt’ para ejecutar comandos como PowerShell y CMD simplemente abriendo las aplicaciones iniciadas de Microsoft Office como “.doc” o “.rtf” para iniciar la ejecución de un comando remoto en un entorno.

Los mecanismos de detección y prevención de Cynet 360 AutoXDR™ ya están actualizados con reglas y políticas para garantizar que nuestros clientes estén protegidos contra los intentos de aprovechar esta vulnerabilidad.

Alerta de la interfaz de usuario de Cynet 360 AutoXDR

¿Qué es MSDT?

La herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) es una aplicación del sistema operativo Microsoft Windows.

El msdt.exe es un archivo ejecutable desarrollado como parte del sistema operativo Windows de Microsoft y pertenece al proceso del Asistente para la solución de problemas de diagnóstico.

Un escenario de ataque

El ataque se lleva a cabo con bastante facilidad. Al requerir una interacción mínima con el usuario, cualquier ejecutable o ejecución de comando puede activarse simplemente abriendo el archivo .doc/.rtf sin requisitos previos adicionales.

Si el documento malicioso es un archivo “.doc”, el usuario debe hacer clic en él para ejecutarlo. Si el documento malicioso es un archivo «.rtf», basta con pasar el cursor sobre él para obtener una vista previa para la ejecución.

Además, es fácil ejecutar un comando malicioso de PowerShell con un indicador «oculto» de estilo sin exponer al usuario al hecho de que se ejecutó una carga maliciosa en su sistema, ya que «ms-msdt» puede ejecutar comandos automáticamente sin la interacción del usuario.

¿Qué versiones de Microsoft Office están afectadas?

La vulnerabilidad de ejecución remota de código de MSDT (Follina) afecta actualmente a Microsoft Office 2013, 2016, 2019 y 2021, que no tiene un parche oficial disponible.

Cynet al rescate

Dado que la plataforma de Cynet monitorea constantemente el entorno de direcciones de memoria, Cynet 360 AutoXDR tiene muchos mecanismos de detección relacionados con el procesamiento principal y los comandos de secuencias de comandos maliciosos. Una vez que Cynet detecta que Microsoft Office está intentando iniciar la ejecución del código a través de una aplicación de terceros, detectará y evitará la actividad automáticamente.

Además, dado que se supone que las utilidades de Microsoft Office no abren la herramienta de diagnóstico, que está destinada a otros procesos, hemos implementado una regla de detección que se activará una vez que Cynet detecte que la herramienta de diagnóstico tiene una apariencia de proceso del archivo relacionado con Office.

Esta regla también evitará la actividad al eliminar el proceso de inmediato, bloqueando a los actores de amenazas en el acto, ya que deben tener el proceso en funcionamiento para iniciar la ejecución del código.

Intento de explotación bloqueado en un host protegido por Cynet 360 AutoXDR

Pasos que puede tomar ahora mismo para mitigar

Desinstalación de la herramienta de diagnóstico de Windows

Siempre puede simplemente desinstalar la herramienta de diagnóstico de Windows siguiendo estos pasos:

Si el archivo es parte de un programa de software, también tendrá un programa de desinstalación. A continuación, puede ejecutar el desinstalador ubicado en un directorio como C:Archivos de programa>Sistema operativo de Microsoft Windows>Sistema operativo de Microsoft Windows>Asistente de solución de problemas de diagnóstico> msdt.exe_uninstall.exe .

O bien, si msdt.exe se instaló con Windows Installer, se puede desinstalar yendo a Configuración del sistema y abriendo la opción Agregar o quitar programas.

Luego busque msdt.exe o el nombre del software Sistema operativo Microsoft Windows en la barra de búsqueda o pruebe con el nombre del desarrollador Sistema operativo Microsoft Windows.

Desde allí, haga clic en él y seleccione la opción Desinstalar programa para eliminar el archivo msdt.exe de su computadora. El programa del sistema operativo Microsoft Windows junto con el archivo msdt.exe se eliminarán de su computadora.

Deshabilitar el protocolo URL de MSDT

La desactivación del protocolo URL de MSDT impide que los solucionadores de problemas se inicien como enlaces, incluidos los enlaces dentro del propio sistema operativo. Todavía se puede acceder a estos solucionadores de problemas a través de la aplicación Obtener ayuda y la configuración del sistema como solucionadores de problemas complementarios o alternativos.

Siga estos pasos para deshabilitar el protocolo URL de MSDT:

Ejecute el símbolo del sistema como administrador. Haga una copia de seguridad de la clave de registro: ejecute el comando «reg export HKEY_CLASSES_ROOT\ms-msdt filename». Elimine la clave de registro: ejecute el comando «reg delete HKEY_CLASSES_ROOT\ms-msdt /f»

Cómo puede ayudarte Cynet

El equipo MDR de Cynet, CyOps, monitorea los entornos de nuestros clientes las 24 horas del día, los 7 días de la semana y se comunicará con usted en los casos en que se detecten indicadores de esta vulnerabilidad en su entorno.

El equipo está disponible para nuestros clientes para cualquier problema, pregunta y para proporcionar información adicional las 24 horas del día.

¿Tiene preguntas sobre esta vulnerabilidad?

Puede ponerse en contacto con nuestro equipo de Advance directamente en aquí.