Microsoft emite una advertencia de explotación RCE en su herramienta de diagnóstico de Windows

Si alguna vez se comunicó con el Soporte de Microsoft directamente sobre cualquier problema con su sistema Windows o Windows Server, es posible que se le haya pedido que use la Herramienta de diagnóstico de soporte de Microsoft (MSDT). Puede abrirlo escribiendo msdt en Windows Run (Win + R), después de lo cual se le pedirá que ingrese una clave de acceso proporcionada por un representante de soporte. Una vez que ingrese esto, podrá ejecutar algunos diagnósticos y enviar los resultados directamente a Microsoft para su posterior análisis.

Sin embargo, Microsoft ahora ha emitido una advertencia sobre una vulnerabilidad de ejecución remota de código (RCE) presente en MSDT.

El problema en cuestión se está rastreando para CVE-2022-30190 y tiene un nivel de gravedad Alto. Aunque Microsoft no entró en detalles, probablemente porque la vulnerabilidad aún no se ha reparado, explicó que RCE puede ocurrir cuando se invoca MSDT utilizando el protocolo URL desde una aplicación de llamada como Microsoft Word.

Un atacante podrá ejecutar código arbitrario que puede ver, eliminar o modificar sus archivos con los privilegios de la aplicación que llama. Entonces, por ejemplo, si se invoca MSDT a través de Microsoft Word ejecutándose con derechos de administrador, el atacante obtendrá los mismos derechos de administrador, lo que obviamente no es bueno.

Por ahora, Microsoft recomienda deshabilitar MSDT con los siguientes comandos, que puede ejecutar desde el símbolo del sistema:

• Ejecutar símbolo del sistema como administrador
• Para hacer una copia de seguridad de una clave de registro, ejecute el comando «reg export HKEY_CLASSES_ROOT\ms-msdt filename».
• Ejecute el comando «reg delete HKEY_CLASSES_ROOT\ms-msdt /f»

Sin embargo, si luego descubre que prefiere correr riesgos porque MSDT es fundamental para su flujo de trabajo, puede revertir la solución siguiendo el proceso a continuación:

• Ejecute el símbolo del sistema como administrador.
• Para hacer una copia de seguridad de una clave de registro, ejecute el comando «reg import filename».

Actualmente, Microsoft todavía está trabajando en una solución. Se hizo hincapié en que la vulnerabilidad de seguridad se está explotando en un entorno del mundo real, por lo que es importante habilitar la protección basada en la nube y el envío automático de muestras a través de Microsoft Defender. Mientras tanto, los clientes de Microsoft Defender Endpoint también deben configurar políticas para reducir la superficie de ataque de los procesos secundarios de las aplicaciones de Office.