Hace dos días, los investigadores de seguridad revelaron una vulnerabilidad en la herramienta de diagnóstico de soporte de Microsoft que afecta a todas las versiones de cliente y servidor del sistema operativo Windows.

La herramienta, diseñada como una herramienta para comunicarse con el soporte, está integrada en Windows de forma predeterminada. Microsoft confirmó el problema y publicado una página de soporte para proporcionar a los administradores del sistema información sobre la vulnerabilidad.

La vulnerabilidad explota un problema en el manejo de protocolos del sistema operativo Windows. Un atacante puede explotarlo a través de aplicaciones que usan el protocolo URL para llamar a la herramienta de diagnóstico de soporte de Microsoft. La explotación exitosa del problema permite a los atacantes ejecutar código arbitrario con los mismos privilegios que la aplicación desde la que se originó el ataque.

Los atacantes pueden usarlo para instalar o eliminar programas de máquinas con Windows, eliminar o modificar datos, crear nuevas cuentas de usuario, acceder a archivos o realizar cambios en el Registro de Windows.

La solución de Microsoft para la vulnerabilidad de la herramienta de diagnóstico de soporte de Microsoft

eliminar msdt

microsoft al corriente una solución alternativa para reducir la superficie de ataque de la vulnerabilidad. La solución alternativa publicada no protege completamente los sistemas Windows, ya que aún es posible acceder a los solucionadores de problemas a través de la aplicación Obtener ayuda y en la configuración del sistema.

Aquí está la solución oficial:

  1. Abra el menú Inicio.
  2. Escriba Símbolo del sistema.
  3. Seleccione Ejecutar como administrador para iniciar una ventana de símbolo del sistema elevada.
  4. Confirme el aviso de UAC.
  5. Ejecute el comando registro exportar HKEY_CLASSES_ROOT\ms-msdt regbackupmsdt.reg para hacer una copia de seguridad de la clave ms-msdt. El archivo de registro se guarda en C:\Windows\System32 de forma predeterminada, pero puede agregar otra ubicación delante del nombre del archivo regbackupmsdt.reg.
  6. Ejecute el comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f para eliminar la clave.

Puede restaurar la clave en cualquier momento ejecutando registro importar regbackupmsdt.reg desde una ventana del símbolo del sistema elevada. Tenga en cuenta que es posible que deba especificar la ubicación del archivo de copia de seguridad del Registro si se encuentra en otro lugar del sistema.

Microsoft solicita que los clientes con Microsoft Defender Antivirus habiliten la protección en la nube y el envío automático de muestras en la aplicación. Los clientes de Microsoft Defender para Endpoint pueden habilitar la regla de reducción de la superficie de ataque BlockOfficeCreateProcessRule para proteger aún más los sistemas. Habilitar la regla impide que las aplicaciones de Office creen procesos secundarios.

Microsoft Defender Antivirus 1.367.851.0 o superior ofrece detecciones y protecciones contra posibles exploits según Microsoft:

Troyano:Win32/Mesdetty.A? (bloquea la línea de comandos de msdt)
Troyano:Win32/Mesdetty.B? (bloquea la línea de comandos de msdt)
Comportamiento: Win32/MesdettyLaunch.A!blk (finaliza el proceso que inició la línea de comandos de msdt)
Trojan:Win32/MesdettyScript.A (para detectar archivos HTML que contienen comandos sospechosos de msdt que se descartan)
Trojan:Win32/MesdettyScript.B (para detectar archivos HTML que contienen comandos sospechosos de msdt que se descartan)

Una mejor solución para la vulnerabilidad de la herramienta de diagnóstico de soporte de Microsoft

asistentes de solución de problemas de desactivación de Windows

La solución alternativa de Microsoft no soluciona la vulnerabilidad por completo en el sistema. Si bien puede detener la mayoría de los ataques, no los detendrá todos, ya que todavía es posible acceder a los asistentes de solución de problemas.

Benjamín Delpy publicado una mejor solución en Twitter que deshabilita los Asistentes para la solución de problemas en Windows usando la Política de grupo. (a través de Modificador de escritorio)

Los administradores de Windows pueden cambiar la política en el Editor de políticas de grupo o editando el Registro de Windows directamente.

Política de grupo

no permitir asistentes de solución de problemas

Tenga en cuenta que el Editor de directivas de grupo solo está disponible en versiones profesionales del sistema operativo Windows. Puede comprobar la versión abriendo la aplicación Configuración y yendo a Sistema > Acerca de.

  1. Abra el menú Inicio.
  2. Escriba gpedit.msc y presione la tecla Intro para iniciar el Editor de directivas de grupo.
  3. Vaya a Configuración de la computadora > Plantillas administrativas > Sistema > Diagnóstico y solución de problemas > Diagnóstico con secuencias de comandos
  4. Haga doble clic en la política Solución de problemas: permitir que los usuarios accedan y ejecuten asistentes para la solución de problemas.
  5. Establezca el estado de la política en Deshabilitado para impedir que los usuarios del sistema inicien herramientas de solución de problemas.
  6. Seleccione Aceptar para completar el cambio.

La política es compatible con todos los sistemas Windows a partir de Windows 7 en el lado del cliente y Windows Server 2008 R2 en el lado del servidor.

Tenga en cuenta que esto elimina la opción del usuario de ejecutar solucionadores de problemas en el sistema. Puede deshacer el cambio en cualquier momento configurando el estado de la política en No configurado (predeterminado) o Habilitado. Es posible que los administradores del sistema deseen deshacer el cambio una vez que Microsoft obtenga un parche oficial en una actualización futura.

Editor de registro

ventanas de diagnóstico con secuencias de comandos

Los administradores de Windows pueden editar el Registro de Windows para no permitir la ejecución de asistentes de solución de problemas en el sistema; esta es la mejor opción en los sistemas domésticos, que no son compatibles con el Editor de políticas de grupo, pero algunos administradores también pueden preferir la edición del Registro a la Política de grupo.

  1. Abra el menú Inicio de Windows.
  2. Escriba regedit.exe y presione la tecla Enter; esto abre el Editor del Registro de Windows.
  3. Confirme el aviso de UAC.
  4. Vaya a Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics.
    1. Es posible que una o más de las claves enumeradas no existan. Es posible que deba crear las claves que faltan haciendo clic con el botón derecho en la clave anterior y seleccionando Nuevo > Clave en el menú contextual. Repita el proceso hasta que todas las claves estén presentes.
  5. Haga clic con el botón derecho en ScriptedDiagnostics y seleccione Nuevo > Valor Dword (32 bits).
  6. Nómbrelo EnableDiagnostics.
  7. Haga doble clic en EnableDiagnostics y establezca el valor de Dword en 0.
  8. Cierre la ventana del Editor del Registro.
  9. Reinicie la PC con Windows para aplicar el cambio.

Para deshacer el cambio, haga clic con el botón derecho en EnableDiagnostics en el Editor del Registro de Windows y seleccione la opción Eliminar. Es necesario reiniciar para aplicar el cambio.

Vulnerabilidad del protocolo de búsqueda de Windows

Otra vulnerabilidad en el manejo de protocolos en Windows fue revelado el dia de ayer. La nueva vulnerabilidad explota un problema en el controlador del protocolo de búsqueda de Windows search-ms.

La nueva vulnerabilidad, revelada por el usuario de Twitter hackerfantastic.crypto, se puede explotar para iniciar una ventana de búsqueda de Windows automáticamente cuando se abre un documento de Office. La ventana de búsqueda puede mostrar archivos ejecutables en un recurso compartido SMB remoto usando nombres como Actualizaciones críticas para que los usuarios instalen el malware.

Los atacantes también pueden aprovechar el panel de vista previa del Explorador y los documentos RTF especialmente preparados para iniciar la ventana de búsqueda automáticamente cuando el documento se presenta en el panel de vista previa del administrador de archivos.

El problema requiere la interacción del usuario, pero aún podría provocar la infección de los sistemas del usuario si los usuarios no tienen cuidado con lo que abren en sus dispositivos.

Microsoft aún no ha confirmado el nuevo problema. Los administradores pueden bloquearlo eliminando el controlador de protocolo search-ms en el Registro de Windows:

  1. Abra el menú Inicio.
  2. Escriba Símbolo del sistema.
  3. Seleccione Ejecutar como administrador para iniciar una ventana de símbolo del sistema elevada.
  4. Confirme el aviso de UAC.
  5. Ejecute el comando registro exportar HKEY_CLASSES_ROOT\search-ms search-ms.reg para hacer una copia de seguridad de la clave del Registro.
  6. Ejecute el comando reg borrar HKEY_CLASSES_ROOT\search-ms /f para eliminar la clave del Registro.
  7. Cierra el Editor del Registro.
  8. Reinicie la PC.

Para restaurar la funcionalidad, ejecute reg importar búsqueda-ms.reg desde una ventana del símbolo del sistema elevada.

Por Deyanira