Microsoft émet un avertissement concernant l'exploit RCE dans son outil de diagnostic Windows

Si vous avez déjà contacté directement le support Microsoft au sujet d'un problème sur votre système Windows ou Windows Server, vous avez peut-être été invité à utiliser l'outil de diagnostic du support Microsoft (MSDT). Vous pouvez l'ouvrir en tapant msdt dans Windows Run (Win + R) et il vous sera demandé de saisir le mot de passe fourni par votre représentant du support. Une fois ces informations saisies, vous pourrez exécuter des diagnostics et envoyer les résultats directement à Microsoft pour une analyse plus approfondie.

Microsoft a maintenant publié un avis concernant une vulnérabilité d'exécution de code à distance (RCE) qui existe dans MSDT. La faille de sécurité affecte presque toutes les versions prises en charge de Windows et Windows Server, notamment Windows 7, 8.1, 10, 11, Windows Server 2008, 2012, 2016, 2019 et 2022.

Le problème en question est suivi sous CVE-2022-30190 et a un niveau de gravité élevé. Bien que Microsoft n'ait pas encore donné de détails - peut-être parce que la vulnérabilité n'a pas encore été corrigée - il explique que RCE peut se produire lorsque MSDT est appelé à l'aide d'un protocole URL à partir d'une application appelante telle que Microsoft Word.

Un attaquant pourrait exécuter du code arbitraire pour afficher, supprimer ou modifier vos fichiers en appelant les autorisations de l'application. Ainsi, par exemple, si MSDT est appelé depuis Microsoft Word exécuté avec des droits d'administrateur, l'attaquant obtiendra les mêmes droits d'administrateur - ce qui est évidemment mauvais.

Actuellement, Microsoft recommande de désactiver MSDT via la commande suivante qui peut être exécutée dans l'invite de commande :

• Exécuter l'invite de commande en tant qu'administrateur
• Pour sauvegarder les clés de registre, exécutez la commande "reg export HKEY_CLASSES_ROOTms-msdt filename"
• Exécutez la commande "reg delete HKEY_CLASSES_ROOTms-msdt /f"

Cependant, si vous constatez plus tard que vous préférez prendre le risque car MSDT est essentiel à votre flux de travail, vous pouvez restaurer la solution de contournement via le processus suivant :

• Avec Exécutez l’invite de commande en tant qu’administrateur.
• Pour réimporter la clé de registre, veuillez exécuter la commande "reg import filename"

Pour l'instant, Microsoft travaille toujours sur un correctif. Il souligne que les failles de sécurité sont largement exploitées. Il est donc important d'activer la protection fournie par le cloud et la soumission automatisée des échantillons via Microsoft Defender. Dans le même temps, les clients Microsoft Defender for Endpoint doivent également configurer des stratégies pour réduire la surface d’attaque des processus enfants des applications Office.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!