Cuando contactamos con el servicio de soporte de Microsoft, en caso de que se requiera y dependiendo de nuestro problema, pueden obtener toda la información que necesitan de forma directa a través de la herramienta MSDT (Microsoft Support Diagnostic Tool). Al proporcionarle a esta herramienta la clave que nos concede el representante técnico, podremos ejecutar ciertas herramientas de diagnóstico y enviar la información a Microsoft para su análisis.
Si bien esta herramienta puede ser muy útil para que la compañía detecte el problema que tengamos con nuestro equipo, también puede suponer un grave riesgo para nuestra seguridad según un nuevo exploit detectado. Y es que a través de una entrada en el blog de Microsoft centrado en la seguridad, han ofrecido información acerca de un nuevo método de ejecución de código en remoto (RCE) que hace uso de esta herramienta.
Un peligroso exploit aún sin solución
Debido a la gran disponibilidad de la herramienta de diagnóstico que ofrece Microsoft, el exploit es aprovechable en un gran número de sistemas de la compañía, entre ellos Windows 7, 8.1, 10, 11, y Windows Server 2008, 2012, 2016, 2019 y 2022. Localizado como CVE-2022-30190, se trata de un problema de seguridad de alto nivel. Además, debido a los pocos detalles que ha ofrecido la compañía, es probable que el problema aún no haya sido parcheado.
El exploit parece ser aprovechable a través del protocolo URL de la llamada de una aplicación como Microsoft Word. Según explica la compañía, el atacante que logre aprovechar esta vulnerabilidad podrá ejecutar código arbitrario con los mismos privilegios que la aplicación de llamada. De esta manera, si Word se estuviese ejecutando con privilegios de administrador, esto significa que el atacante podría obtener esos mismos privilegios.
Desde Microsoft han recomendado deshabilitar la herramienta MSDT mediante una serie de sencillos pasos hasta que encuentren una solución al problema. Para desactivarla, tenemos que hacer lo siguiente:
- Abrir el Símbolo del sistema como administrador
- Ejecutar el comando "reg export HKEY_CLASSES_ROOT\ms-msdt nombre del archivo" (sin comillas).
- Ejecutar el comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" (sin comillas).
En 'nombre del archivo' sustituimos por el nombre que le queremos dar al archivo para exportar la información de ese registro.
Para revertir los cambios y volver a disponer de esta herramienta, hacemos lo siguiente:
- Ejecutamos Símbolo del sistema como administrador
- Ejecutamos el siguiente comando para restaurar la clave del registro: "reg import nombre del archivo" (sin comillas).
La compañía recomienda también activar la protección basada en la nube y el envío de muestras automático en Windows Defender.
Ver 3 comentarios