Microsoft compartió un plan de mitigación para bloquear las explotaciones de errores de Office 0-Day

Para mitigar las continuas explotaciones de sus errores de día cero de Office, Microsoft anunció un plan de mitigación para los usuarios vulnerables.

Esto se logra deshabilitando el protocolo de URL de la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), que utilizan los atacantes para ejecutar código arbitrario de forma remota en los sistemas de las víctimas. Microsoft también dijo que ciertas versiones nuevas de Microsoft Defender también podrán detectar las explotaciones.

Índice de contenidos

    Detener las explotaciones contra los errores de día cero de Office

    Vemos errores de día cero que surgen de los productos de software de vez en cuando. Microsoft no es especial, ya que los productos de la compañía también están infestados de errores regularmente. El último que escuchamos es sobre el paquete de Office que tiene un error de día cero, encontrado por un investigador de seguridad. nao_sec.

    rastreado como el CVE-2022-30190este error de día cero está relacionado con la herramienta de diagnóstico de soporte de Windows (MSDT) de Microsoft y permite que los atacantes exitosos ejecuten comandos maliciosos de PowerShell al abrir o vista previa ¡Documentos de Word!

    microsoft señalado que "El atacante puede luego instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario". sobre este error RCE.

    Y dado que las explotaciones de este error comenzaron hace un mes, Microsoft ahora ha compartido un plan de mitigación para detenerlo y proteger a los usuarios vulnerables.. Esto se logra deshabilitando el protocolo URL de MSDT que permite a los atacantes ejecutar código malicioso de forma remota. Aquí está cómo hacerlo;

    1. Ejecute el símbolo del sistema como administrador.
    2. Para hacer una copia de seguridad de la clave de registro, ejecute el comando "reg export HKEY_CLASSES_ROOTms-msdt filename"
    3. Ejecute el comando "reg delete HKEY_CLASSES_ROOTms-msdt /f"

    Y cuando Microsoft presenta un parche que funciona, los usuarios pueden deshacer esta mitigación ejecutando un símbolo del sistema elevado y ejecutando el comando reg import filename (nombre de archivo es el nombre de la copia de seguridad del registro creada al deshabilitar el protocolo).

    La empresa también señaló que su Defender Antivirus v1.367.719.0 o posterior puede incluso detectar la posible explotación de este error de día cero bajo las siguientes firmas:

    Troyano:Win32/Mesdetty.A
    Troyano:Win32/Mesdetty.B
    Comportamiento: Win32/MesdettyLaunch.A
    Comportamiento: Win32/MesdettyLaunch.B
    Comportamiento: Win32/MesdettyLaunch.C

    Por lo tanto, se recomienda actualizar su suite Microsoft Defender y aplicar la medida de mitigación sugerida por la empresa.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir