Средство диагностики поддержки Microsoft

СобакаПрогулка
Идентификатор(ы) CVE	CVE - 2022-34713
Дата обнаружения	Публично раскрыто 27 января 2020 г .; 4 года назад
Дата исправления	14 июня 2022 г.
Затронутое оборудование	Все компьютеры, мобильные телефоны и серверы с ОС Windows
Затронутое программное обеспечение	Средство диагностики безопасности Microsoft
Веб-сайт	Отслеживание уязвимостей Microsoft для DogWalk

Фоллина
Идентификатор(ы) CVE	CVE - 2022-30190
Дата обнаружения	Публично раскрыто 27 мая 2022 г .; 2 года назад
Дата исправления	14 июня 2022 г.
Затронутое программное обеспечение	Средство диагностики безопасности Microsoft

Средство диагностики поддержки Microsoft (MSDT) — это устаревшая служба Microsoft Windows , которая позволяет агентам технической поддержки Microsoft удаленно анализировать диагностические данные в целях устранения неполадок. ^{[ 1 ]} В апреле 2022 года была обнаружена уязвимость безопасности , которая позволяла удаленно выполнять код , который использовался для атак на компьютеры в России и Беларуси, а затем и на тибетское правительство в изгнании. ^{[ 2 ]} Microsoft посоветовала временное решение отключения MSDT путем редактирования реестра Windows . ^{[ 3 ]}

Использовать

При обращении в службу поддержки пользователю предлагается запустить MSDT и предоставить уникальный «ключ доступа», который он вводит. Им также присваивается «номер инцидента», позволяющий однозначно идентифицировать их случай. MSDT также можно запустить в автономном режиме , при этом будет создан файл .CAB , который можно загрузить с компьютера с подключением к Интернету. ^{[ 4 ]}

Уязвимости безопасности

Фоллина

Фоллина — это имя, присвоенное уязвимости удаленного выполнения кода (RCE), типу эксплойта выполнения произвольного кода (ACE), в инструменте диагностики поддержки Microsoft (MSDT), который был впервые широко опубликован 27 мая 2022 года в результате исследования безопасности. группа под названием Nao Sec. ^{[ 5 ]} Этот эксплойт позволяет удаленному злоумышленнику использовать шаблон документа Microsoft Office для выполнения кода через MSDT. Это работает за счет использования способности шаблонов документов Microsoft Office загружать дополнительный контент с удаленного сервера. Если размер загруженного контента достаточно велик, это вызывает переполнение буфера , позволяя выполнять полезную нагрузку кода Powershell без явного уведомления пользователя. 30 мая Microsoft выпустила CVE -2022-30190. ^{[ 6 ]} с указанием пользователям отключить MSDT. ^{[ 7 ]} С апреля было замечено, что злоумышленники использовали эту ошибку для атак на компьютеры в России и Беларуси, и считается, что китайские государственные деятели использовали ее для атаки на тибетское правительство в изгнании, базирующееся в Индии. ^{[ 8 ]} Microsoft исправила эту уязвимость в своих исправлениях от июня 2022 года. ^{[ 9 ]}

СобакаПрогулка

Уязвимость DogWalk — это уязвимость удаленного выполнения кода (RCE) в средстве диагностики поддержки Microsoft (MSDT). Впервые об этом сообщили в январе 2020 года, но Microsoft изначально не считала это проблемой безопасности. Однако позже уязвимость была использована в реальных условиях, и в августе 2022 года Microsoft выпустила для нее патч.

Уязвимость . вызвана уязвимостью обхода пути в библиотеке sdiageng.dll Эта уязвимость позволяет злоумышленнику обманом заставить жертву открыть вредоносный файлdiagcab, который представляет собой тип CAB-файла Windows, который используется для хранения файлов поддержки. Когда файлdiagcab открывается, он запускает инструмент MSDT, который затем выполняет вредоносный код.

Уязвимость DogWalk, первоначально обнаруженная Митей Колсеком, вызвана уязвимостью обхода пути в библиотеке sdiageng.dll. Эта уязвимость позволяет злоумышленнику обманом заставить жертву открыть вредоносный файлdiagcab, который представляет собой тип CAB-файла Windows, который используется для хранения файлов поддержки. Когда файлdiagcab открывается, он запускает инструмент MSDT, который затем выполняет вредоносный код.

Уязвимость эксплуатируется путем создания вредоносного файла DiagCab, содержащего специально созданный путь. Этот путь содержит последовательность символов, предназначенную для использования уязвимости обхода пути в библиотеке sdiageng.dll. Когда файлdiagcab открыт, инструмент MSDT попытается проследить путь. Однако путь будет содержать символы, недопустимые для пути Windows. Это приведет к сбою инструмента MSDT.

При сбое инструмента MSDT он создает дамп памяти. Этот дамп памяти будет содержать вредоносный код, выполненный инструментом MSDT. Затем злоумышленник может использовать этот дамп памяти для извлечения вредоносного кода и выполнения его на своем компьютере. ^{[ 10 ]}^{[ 11 ]}

Выход на пенсию

Microsoft больше не будет поддерживать устаревшие средства устранения неполадок в почтовом ящике Windows. В 2025 году Microsoft полностью удалит платформу MSDT. ^{[ 12 ]} Get Help — это инструмент замены.

Версии Windows

В будущих версиях и обновлениях функций MSDT будет утрачена после 23 мая 2023 г.

Ссылки

^ Рабия Нурин (31 мая 2022 г.). «Microsoft признает наличие недостатка нулевого дня в Office, влияющего на средство диагностики Windows» . petri.com .
^ Карли Пейдж (1 июня 2022 г.). «Хакеры, поддерживаемые Китаем, используют непропатченную версию Microsoft нулевого дня» . techcrunch.com .
^ MSRC (30 мая 2022 г.). «Руководство по уязвимости средства диагностики поддержки Microsoft CVE-2022-30190» .
^ «Как запустить средство диагностики поддержки Microsoft в Windows 10» . 2 мая 2019 г.
^ Корин Фейфе (1 июня 2022 г.). «Хакеры, связанные с Китаем, используют новую уязвимость в Microsoft Office» . theverge.com .
^ «Уязвимость средства диагностики поддержки Microsoft Windows (MSDT) для удаленного выполнения кода» .
^ MSRC (30 мая 2022 г.). «Руководство по уязвимости средства диагностики поддержки Microsoft CVE-2022-30190» .
^ Карли Пейдж (1 июня 2022 г.). «Хакеры, поддерживаемые Китаем, используют непропатченную версию Microsoft нулевого дня» . techcrunch.com .
^ Виджаян, Джай (14 июня 2022 г.). «Microsoft исправляет ошибку нулевого дня «Фоллина» в ежемесячном обновлении безопасности» . Мрачное чтение . Проверено 14 июня 2022 г.
^ «Новая ошибка нулевого дня в Windows 'DogWalk' получает бесплатные неофициальные исправления» . Мигающий компьютер . Проверено 22 мая 2023 г.
^ «Microsoft исправляет Windows DogWalk, используемый в атаках» . Мигающий компьютер . Проверено 22 мая 2023 г.
^ «Устарение средства диагностики поддержки Microsoft (MSDT) и средств устранения неполадок MSDT — Служба поддержки Microsoft» . support.microsoft.com . Проверено 22 мая 2023 г.

Эта о компьютерной безопасности статья незавершена . Вы можете помочь Википедии, расширив ее .

[petri-1] Рабия Нурин (31 мая 2022 г.). «Microsoft признает наличие недостатка нулевого дня в Office, влияющего на средство диагностики Windows» . petri.com .

[techcrunch-2] Карли Пейдж (1 июня 2022 г.). «Хакеры, поддерживаемые Китаем, используют непропатченную версию Microsoft нулевого дня» . techcrunch.com .

[msblog-3] MSRC (30 мая 2022 г.). «Руководство по уязвимости средства диагностики поддержки Microsoft CVE-2022-30190» .

[windowsclub-4] «Как запустить средство диагностики поддержки Microsoft в Windows 10» . 2 мая 2019 г.

[theverge-5] Корин Фейфе (1 июня 2022 г.). «Хакеры, связанные с Китаем, используют новую уязвимость в Microsoft Office» . theverge.com .

[CVE-2022-30190-6] «Уязвимость средства диагностики поддержки Microsoft Windows (MSDT) для удаленного выполнения кода» .

[msblog2-7] MSRC (30 мая 2022 г.). «Руководство по уязвимости средства диагностики поддержки Microsoft CVE-2022-30190» .

[techcrunch2-8] Карли Пейдж (1 июня 2022 г.). «Хакеры, поддерживаемые Китаем, используют непропатченную версию Microsoft нулевого дня» . techcrunch.com .

[9] Виджаян, Джай (14 июня 2022 г.). «Microsoft исправляет ошибку нулевого дня «Фоллина» в ежемесячном обновлении безопасности» . Мрачное чтение . Проверено 14 июня 2022 г.

[10] «Новая ошибка нулевого дня в Windows 'DogWalk' получает бесплатные неофициальные исправления» . Мигающий компьютер . Проверено 22 мая 2023 г.

[11] «Microsoft исправляет Windows DogWalk, используемый в атаках» . Мигающий компьютер . Проверено 22 мая 2023 г.

[:0-12] «Устарение средства диагностики поддержки Microsoft (MSDT) и средств устранения неполадок MSDT — Служба поддержки Microsoft» . support.microsoft.com . Проверено 22 мая 2023 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]