Inicio / Content / Boletín de INCIBE-CERT del 31-05-2022

Boletín de INCIBE-CERT del 31-05-2022

0day de ejecución remota de código en Microsoft Windows Support Diagnostic Tool (MSDT)

Fecha de publicación: 
31/05/2022
Identificador: 
INCIBE-2022-0771
Importancia: 
4 - Alta
Recursos afectados: 
  • Windows Server 2012 R2 (Server Core installation);
  • Windows Server 2012 R2;
  • Windows Server 2012 (Server Core installation);
  • Windows Server 2012;
  • Windows Server 2008 R2 para x64-based Systems Service Pack 1 (Server Core installation);
  • Windows Server 2008 R2 para x64-based Systems Service Pack 1;
  • Windows Server 2008 para x64-based Systems Service Pack 2 (Server Core installation);
  • Windows Server 2008 para x64-based Systems Service Pack 2;
  • Windows Server 2008 para 32-bit Systems Service Pack 2 (Server Core installation);
  • Windows Server 2008 para 32-bit Systems Service Pack 2;
  • Windows RT 8.1;
  • Windows 8.1 para x64-based systems;
  • Windows 8.1 para 32-bit systems;
  • Windows 7 para x64-based Systems Service Pack 1;
  • Windows 7 para 32-bit Systems Service Pack 1;
  • Windows Server 2016  (Server Core installation);
  • Windows Server 2016;
  • Windows 10 versión 1607 para x64-based Systems;
  • Windows 10 versión 1607 para 32-bit Systems;
  • Windows 10 para x64-based Systems;
  • Windows 10 para 32-bit Systems;
  • Windows 10 versión 21H2 para x64-based Systems;
  • Windows 10 versión 21H2 para ARM64-based Systems;
  • Windows 10 versión 21H2 para 32-bit Systems;
  • Windows 11 para ARM64-based Systems;
  • Windows 11 para x64-based Systems;
  • Windows Server, versión 20H2 (Server Core Installation);
  • Windows 10 versión 20H2 para ARM64-based Systems;
  • Windows 10 versión 20H2 para 32-bit Systems;
  • Windows 10 versión 20H2 para x64-based Systems;
  • Windows Server 2022 Azure Edition Core Hotpatch;
  • Windows Server 2022 (Server Core installation);
  • Windows Server 2022;
  • Windows 10 versión 21H1 para 32-bit Systems;
  • Windows 10 versión 21H1 para ARM64-based Systems;
  • Windows 10 versión 21H1 para x64-based Systems;
  • Windows Server 2019  (Server Core installation);
  • Windows Server 2019;
  • Windows 10 versión 1809 para ARM64-based Systems;
  • Windows 10 versión 1809 para x64-based Systems;
  • Windows 10 versión 1809 para 32-bit Systems.
Descripción: 

Microsoft ha publicado una vulnerabilidad de ejecución remota de código que podría permitir a un atacante ejecutar código arbitrario con los privilegios de la aplicación e instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario.

Solución: 

Medidas de mitigación:

  • Desactivar el protocolo URL de MSDT impide que los solucionadores de problemas se lancen como enlaces, incluidos los enlaces en todo el sistema operativo. Se puede seguir accediendo a los solucionadores de problemas mediante la aplicación Obtener ayuda y en la configuración del sistema como otros solucionadores de problemas o adicionales. Siga estos pasos para desactivarlo:
    • ejecutar el símbolo del sistema como administrador,
    • ejecutar el comando 'reg export HKEY_CLASSES_ROOT\ms-msdt filename' para hacer una copia de seguridad de la clave del registro,
    • ejecutar el comando 'reg delete HKEY_CLASSES_ROOT\ms-msdt /f'.
  • Para revertir el proceso:
    • ejecutar el símbolo del sistema como administrador,
    • ejecutar el comando 'reg import filename' para hacer una copia de seguridad de la clave del registro.

Medidas de detección y protección:

  • Los clientes con Microsoft Defender Antivirus deben activar la protección en la nube y el envío automático de muestras, ya que estas funciones utilizan la inteligencia artificial y el aprendizaje automático para identificar y detener rápidamente las amenazas nuevas y desconocidas.
  • Los clientes de Microsoft Defender para Endpoint pueden activar la regla de reducción de la superficie de ataque 'BlockOfficeCreateProcessRule', que bloquea la creación de procesos hijo por parte de las aplicaciones de Office. La creación de procesos hijo maliciosos es una estrategia común del malware. Para obtener más información, consulte la 'Descripción de las reglas de reducción de la superficie de ataque'.
  • El antivirus Microsoft Defender proporciona detecciones y protecciones para la posible explotación de vulnerabilidades bajo las siguientes firmas utilizando la compilación de detección 1.367.719.0 o más reciente:
    • Trojan:Win32/Mesdetty.A,
    • Troyano:Win32/Mesdetty.B,
    • Comportamiento:Win32/MesdettyLaunch.A,
    • Comportamiento:Win32/MesdettyLaunch.B,
    • Comportamiento:Win32/MesdettyLaunch.C.
  • Microsoft Defender para Endpoint proporciona a los clientes detecciones y alertas. Los siguientes mensajes de alerta en el portal de Microsoft 365 Defender pueden indicar actividad ilícita en su red:
    • comportamiento sospechoso de una aplicación de Office,
    • comportamiento sospechoso de Msdt.exe.
Detalle: 

Una llamada a MSDT, utilizando el protocolo URL desde una aplicación de llamada como Word, podría permitir a un atacante ejecutar código arbitrario con los privilegios de la aplicación que llama e instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas en el contexto permitido por los derechos del usuario. Se ha asignado el identificador CVE-2022-30190 para esta vulnerabilidad.

Encuesta valoración