Microsoft membagikan mitigasi untuk eksploitasi Office Zero-Day dalam serangan

Halo teman baik TanyaTekno, bertemu kembali kita di artikel ini. Di artikel ini saya dapat mengkaji Microsoft membagikan mitigasi untuk eksploitasi Office Zero-Day dalam serangan

Microsoft telah membagikan mitigasi untuk mencegah serangan yang mengeksploitasi bug Microsoft Office yang baru ditemukan yang telah disalahgunakan di alam liar untuk mengeksekusi kode berbahaya dari jarak jauh.

Kesalahannya adalah kerentanan eksekusi kode jarak jauh Microsoft Windows Support Diagnostic Tool (MSDT) yang dilaporkan oleh Orang gila bawahan Shadow Chaser Koleksi.

Microsoft sekarang melacaknya sebagai CVE-2022-30190. Cacat ini memengaruhi semua versi Windows yang masih menerima pembaruan keamanan (Windows 7+ dan Server 2008+).

sebagai peneliti keamanan nao_sec Ditemukan, sedang digunakan oleh aktor ancaman untuk mengeksekusi perintah PowerShell berbahaya melalui MSDT dalam apa yang Redmond gambarkan sebagai Serangan Eksekusi Kode Arbitrase (ACE) saat dibuka atau Inspeksi Dokumen kata.

Microsoft menjelaskan: “Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan memanggil hak istimewa aplikasi.”

“Penyerang kemudian dapat menginstal program, melihat, mengubah atau menghapus data, atau membuat akun baru dalam konteks yang diizinkan oleh hak pengguna.”

Lihat exploit CVE-2022-30190 (Will Dorman)

Solusinya tersedia

Menurut Redmond, administrator dan pengguna dapat mencegah serangan yang mengeksploitasi CVE-2022-30190 dengan menonaktifkan protokol URL MSDT, yang digunakan pelaku jahat untuk meluncurkan alat pemecahan masalah dan mengeksekusi kode pada sistem yang rentan.

Untuk menonaktifkan protokol URL MSDT pada mesin Windows, Anda harus mengikuti prosedur berikut:

  1. Makhluk Prompt Perintah Dengan demikian bos.
  2. Untuk membuat cadangan kunci registri, jalankan perintah “reg ekspor nama file HKEY_CLASSES_ROOT\ms-msdt
  3. Jalankan perintahreg hapus HKEY_CLASSES_ROOT\ms-msdt /f

Setelah Microsoft merilis patch CVE-2022-30190, Anda dapat membatalkan solusi dengan menjalankan prompt perintah yang ditinggikan dan mengeksekusi nama file impor reg perintah (nama file adalah nama cadangan registri yang dibuat saat protokol dinonaktifkan).

Microsoft Defender Antivirus 1.367.719.0 atau yang lebih baru dilengkapi dengan deteksi kerentanan dengan tanda tangan berikut:

  • Trojan: Win32 / Mesdetty.A
  • Trojan: Win32 / Mesdetty.B
  • Perilaku: Win32 / MesdettyLaunch.A
  • Perilaku: Win32 / MesdettyLaunch.B
  • Perilaku: Win32 / MesdettyLaunch.C

Sementara Microsoft mengatakan bahwa Protected View dan Application Guard di Microsoft Office akan memblokir serangan CVE-2022-30190, CERT/CC Vulnerability Analyzer Will Dormann (dan kalau tidak peneliti) menemukan bahwa fitur keamanan Upaya eksploitasi tidak akan dicegah Jika target melihat pratinjau dokumen berbahaya di Windows Explorer.

Jadi, dia adalah disarankan Untuk menonaktifkan panel pratinjau di Windows Explorer untuk menghapus vektor serangan ini juga.

Menurut Shadow Chaser Group yang gila, para peneliti yang pertama kali menemukan dan melaporkan Day Zero pada bulan April, Microsoft pertama kali menandai cacat tersebut sebagai Bukan masalah keamanan.“Namun, saya kemudian menutup laporan transmisi kerentanan Dengan efek eksekusi kode jarak jauh.

Serangan pertama yang mengeksploitasi bug zero-day ini dimulai lebih dari sebulan yang lalu dan menargetkan calon korban berbahasa Rusia Undangan untuk wawancara Radio Sputnik.

BleepingComputer telah menghubungi Microsoft untuk informasi lebih lanjut tentang kerentanan ini (bercanda disebut folina) dan pertanyaan mengapa hal itu tidak dianggap sebagai risiko keamanan. Kami belum menerima tanggapan, tetapi kami akan memperbarui artikel segera setelah perusahaan membagikan pernyataan.

Demikianlah uraiantentang Microsoft membagikan mitigasi untuk eksploitasi Office Zero-Day dalam serangan

. Jangan Lupa untuk
berbagi artikel ini ya sobat.

Rujukan Artikel