Как защитить ПК Windows от уязвимостей протоколов

2022-06-03 4638 комментарии
Несколько дней назад исследователи по безопасности обнаружили уязвимость в инструменте Microsoft Support Diagnostic Tool и уязвимость работы протоколов Windows, которая эксплуатирует проблему в обработчике протокола Поиска Windows (Windows Search): search-ms

Содержание

Уязвимость Microsoft Support Diagnostic Tool

Несколько дней назад исследователи по безопасности обнаружили уязвимость в инструменте Microsoft Support Diagnostic Tool, которая затрагивает клиентские и серверные версии Windows.

Инструмент предназначен для связи с технической поддержки и по умолчанию поставляется с Windows. Microsoft подтвердила проблему и опубликовала страницу поддержки, чтобы предоставить системным администраторам дополнительные сведения об уязвимости.

Уязвимость использует проблему обработки протокола в Windows. Злоумышленник может провести эксплуатацию через приложения, использующие протокол URL для вызова Microsoft Support Diagnostic Tool. В случае успешной атаки злоумышленники могут запускать произвольный код с теми же привилегиями, что и приложение, из которого была совершена атака.

Это позволяет им устанавливать и удалять программы, вносить изменения в данные, создавать новые учетные записи, получать доступ к файлам и редактировать системный реестр Windows.

Решение Microsoft против уязвимости Microsoft Support Diagnostic Tool

Microsoft опубликовала обходное решение, которое служит для уменьшения поверхности атаки. Системы Windows не будут полностью защищены, поскольку сохраняется возможность получить доступ к средствам устранения неполадок через приложение «Быстрая поддержка» и в настройках системы.

Microsoft предлагает следующее:

  • Откройте меню «Пуск».
  • Введите командную строку.
  • Выберите Запуск от имени администратора, чтобы запустить окно командной строки с повышенными привилегиями.
  • Подтвердите запрос службы контроля учетных записей.
  • Чтобы создать резервную копию ключа ms-msdt, выполните команду:
reg export HKEY_CLASSES_ROOT\ms-msdt regbackupmsdt.reg
  • Файл реестра по умолчанию сохраняется в C:\Windows\System32, но вы можете указать другой путь перед именем файла regbackupmsdt.reg.
  • Чтобы удалить ключ, запустите команду:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Вы можете восстановить ключ в любое время, запустив команду reg import regbackupmsdt.reg из окна командной строки с повышенными привилегиями. Обратите внимание, что вам может потребоваться указать расположение файла резервной копии реестра, если он находится в другом месте системы.

Microsoft рекомендует клиентам, использующим антивирус Microsoft Defender, включить облачную защиту и автоматическую отправку образцов в приложении. Клиенты Microsoft Defender for Endpoint могут включить правило BlockOfficeCreateProcessRule для сокращения поверхности атаки для и дополнительной защиты системы. Включение правила запрещает приложениям Office создавать дочерние процессы.

Согласно Microsoft, Microsoft Defender версии 1.367.851.0 или выше обеспечивает обнаружение и защиту от возможных эксплойтов:

  • Trojan:Win32/Mesdetty.A? (блокирует командную строку msdt)
  • Trojan:Win32/Mesdetty.B? (блокирует командную строку msdt)
  • Behavior:Win32/MesdettyLaunch.A!blk (завершает процесс, запустивший командную строку msdt)
  • Behavior:Win32/MesdettyLaunch.A!blk (для обнаружения файлов HTML, содержащих подозрительную команду msdt)
  • Trojan:Win32/MesdettyScript.B (для обнаружения файлов HTML, содержащих подозрительную команду msdt)

Альтернативное решение против уязвимости Microsoft Support Diagnostic Tool

Решение Microsoft полностью не устраняет уязвимость в системе, а лишь останавливает большинство возможных атак. Отдельные виды атак все еще возможны, потому что сохраняется доступ к средствам устранения неполадок.

Исследователь Бенджамин Дельпи (Benjamin Delpy) опубликовал в твиттере альтернативное решение, которое отключает мастера устранения неполадок в Windows с помощью групповой политики.

Администраторы Windows могут изменить политику в редакторе групповой политики или отредактировав реестр Windows.

Редактирование групповой политики

Редактор групповой политики доступен только в профессиональных версиях операционной системы Windows. Вы можете проверить версию в приложении Параметры > Система > О программе.

  • Нажмите сочетание клавиш Windows+R, чтобы открыть окно команды «Выполнить».
  • Введите gpedit.msc и нажмите ОК.
  • В открывшемся Редакторе групповой политики перейдите по следующему пути:
Конфигурация компьютера > Административные шаблоны > Система > Диагностика > Диагностика со сценариями
  • Два раза нажмите на политику Устранение неполадок: разрешить пользователям запускать мастер устранения неполадок.
  • Установите для политики значение Отключено.
  • Нажмите на кнопку Применить, а затем OK.

Политика поддерживается во всех системах Windows, начиная с Windows 7 на стороне клиента и Windows Server 2008 R2 на стороне сервера.

Обратите внимание, изменение статуса политики лишает пользователя возможности запускать средства устранения неполадок в системе. Вы можете отменить изменение в любое время, установив для политики состояние Не настроено (по умолчанию) или Включено. Системные администраторы могут отменить изменение, как только Microsoft выпустит официальный патч.

Изменение реестра

Администраторы Windows могут внести изменение в реестр Windows, чтобы запретить запуск мастеров устранения неполадок в системе — это лучший вариант для систем редакции Домашняя, которые не поддерживают редактор групповой политики. Кроме того, некоторые администраторы также могут предпочесть редактирование реестра групповой политике.

  • Нажмите сочетание клавиш Windows+R и введите regedit, затем нажмите Enter. При необходимости подтвердите запрос службы контроля учетных записей для запуска редактора реестра.
  • Перейдите по следующему пути (скопируйте и вставьте в адресную строку редактора реестра):
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics

Раздел ScriptedDiagnostics может отсутствовать. Создайте его самостоятельно, кликнув правой кнопкой мыши по предыдущему ключу Windows и выберите Создать > раздел.

  • Щелкните правой кнопкой мыши по разделу ScriptedDiagnostics и выберите Создать > Параметр DWORD (32 бита).
  • Назовите параметр EnableDiagnostics и нажмите Enter.
  • Значение созданного ключа должно равняться 0. Если оно отличается, щелкните дважды по ключу и установите значение 0, затем нажмите ОК.
  • Закройте окно редактор реестра.
  • Перезагрузите ПК.

Чтобы отменить изменения, просто удалите ключ EnableDiagnostics, кликнув по нему правой кнопкой мыши и выбрав опцию Удалить. Для применения изменений потребуется перезагрузка ПК.

Уязвимость протокола Windows Search

1 июня была обнаружена еще одна уязвимость работы протоколов Windows, которая эксплуатирует проблему в обработчике протокола Поиска Windows (Windows Search): search-ms.

Новая уязвимость может быть использована для автоматического запуска окна поиска Windows при открытии документа Office. Окно поиска может отображать исполняемые файлы на удаленном ресурсе SMB с такими названиями, как «Критические обновления», чтобы побудить пользователей установить вредоносное ПО.

Для эксплуатации уязвимости злоумышленники могут воспользоваться панелью предварительного просмотра Проводника и специально подготовленными документами в формате RTF. В случае успешной атаки при отображении документа в панели предварительного просмотра Проводника. происходит автоматический запуск окна поиска.

Проблема требует взаимодействия с пользователем, но она все же может привести к заражению пользовательских систем, если пользователи не будут внимательно следить за тем, что они открывают на своих устройствах.

Решение против уязвимости протокола Windows Search

Microsoft еще не подтвердила новую проблему, но администраторы могут заблокировать потенциальные атаки, удалив обработчик протокола search-ms в реестре Windows:

  • Откройте меню «Пуск».
  • Введите запрос Командная строка.
  • Выберите опцию Запуск от имени администратора в контекстном меню, чтобы запустить окно командной строки с повышенными привилегиями.
  • Подтвердите запрос службы контроля учетных записей..
  • Чтобы создать резервную копию ключа реестра, запустите команду:
 reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg
  • Чтобы удалить ключ реестра, запустите команду:
reg delete HKEY_CLASSES_ROOT\search-ms /f
  • Закройте окно командной строки.
  • Перезагрузите ПК.

Чтобы восстановить функциональность, запустите команду reg import search-ms.reg из окна командной строки с повышенными привилегиями.

© . По материалам Ghacks

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?