Последниов период речиси да не може да помине месец, а да не дознаеме за некој нов безбедносен пропуст. Минатата недела дознавме за неколку Android критични пропусти кои ги злоупотребува шпионскиот софтвер Predator, а оваа недела Microsoft откри нов критичен пропуст.
Пропустот е откриен како Word документ и веројатно активно се злоупотребува. IP-адресата од која потекнува документот е лоцирана во Белорусија.
Пропустот е на Microsoft Support Diagnostic Tool. Напаѓачите можат да го искористат за да инсталираат малициозен софтвер без да се активира Windows Defender. Проблемот е пријавен во Microsoft уште на 12-ти април, заедно со предупредување дека 0-day пропустот се злоупотребува. Сепак Microsoft и натаму нема издадено безбедносна закрпа. Безбедносните експерти на Microsoft не сметаат дека пропустот е опасен бидејќи за MSDT алатката е потребна лозинка пред да може да се изврши малициозниот код.
„Документот користи Word remote template функционалност за да преземе HTML фајл од веб-сервер. Потоа со ms-msdt MSProtocol URI scheme се извршува код во PowerShell…
Ова не треба да биде можно…“, вели безбедносниот истражувач Кевин Беумонт на својот блог.
Безбедносниот пропуст постои ако MSDT сo URL протокол биде повикан од софтвер, на пример Word. Напаѓачот ќе може да изврши код со привилегии како апликацијата која го повикува, во случајот Word. Потоа може да инсталира програми, да разгледува, да менува и да брише податоци, или да креира нови профили.
За да им помогне на корисниците да се заштитат, Microsoft издаде едноставно упатство. Корисниците со неколку команди може да го деактивираат MSDT URL протоколот. Kомпаниите треба да проценат дали име е потребен URL протоколот за MSDT, а сите други корисници на Office треба во целост да го изгасат протоколот, констатира Ars Technica.
Како да го деактивирате MSDR URL протоколот
Стартувајте го Command Prompt како aдминистратор…Направете бекап на registry – reg export HKEY_CLASSES_ROOT\ms-msdt име_на_фајл
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
За враќање назад
Стартувајте го Command Prompt како aдминистратор…
reg import име_на_фајл (во случајов име_на_фајл е фајлот кој е креиран со бекапот)