Header Ads Widget

Microsoft compartió un plan de mitigación para bloquear las explotaciones de errores de Office 0-Day

 

Microsoft suspendió todas las ventas y servicios nuevos en Rusia

Para mitigar las continuas explotaciones de sus errores de día cero de Office, Microsoft anunció un plan de mitigación para los usuarios vulnerables.

Esto se logra deshabilitando el protocolo URL de la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT), que utilizan los atacantes para ejecutar código arbitrario de forma remota en los sistemas de las víctimas. Microsoft también dijo que ciertas versiones nuevas de Microsoft Defender también podrán detectar las explotaciones.

Detener las explotaciones contra los errores de día cero de Office

Vemos errores de día cero que surgen de los productos de software de vez en cuando. Microsoft no es especial, ya que los productos de la compañía también están infestados de errores regularmente. El último que escuchamos es sobre el paquete de Office que tiene un error de día cero, encontrado por un investigador de seguridad nao_sec .

Rastreado como CVE-2022-30190 , este error de día cero está relacionado con la herramienta de diagnóstico de soporte de Windows (MSDT) de Microsoft y permite a los atacantes exitosos ejecutar comandos maliciosos de PowerShell al abrir o previsualizar documentos de Word.

Microsoft señaló que "el atacante puede instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario", sobre este error de RCE.

Y dado que las explotaciones de este error comenzaron hace un mes, Microsoft ahora ha compartido un plan de mitigación para detenerlo y proteger a los usuarios vulnerables . Esto se logra deshabilitando el protocolo URL de MSDT que permite a los atacantes ejecutar código malicioso de forma remota. Aquí está cómo hacerlo;

  1. Ejecute el símbolo del sistema como administrador.
  2. Para hacer una copia de seguridad de la clave de registro, ejecute el comando "reg export HKEY_CLASSES_ROOT\ms-msdt filename"
  3. Ejecute el comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"

Y cuando Microsoft presenta un parche que funciona, los usuarios pueden deshacer esta mitigación ejecutando un símbolo del sistema elevado y ejecutando el comando reg import filename (nombre de archivo es el nombre de la copia de seguridad del registro creada al deshabilitar el protocolo).

La compañía también señaló que su Defender Antivirus v1.367.719.0 o posterior puede incluso detectar la posible explotación de este error de día cero bajo las siguientes firmas:

Troyano:Win32/Mesdetty.A
Troyano:Win32/Mesdetty.B
Comportamiento:Win32/MesdettyLaunch.A
Comportamiento:Win32/MesdettyLaunch.B
Comportamiento:Win32/MesdettyLaunch.C

Por lo tanto, se recomienda actualizar su suite Microsoft Defender y aplicar la medida de mitigación sugerida por la empresa.

Publicar un comentario

0 Comentarios