Microsoft publiceert workaround voor zerodaylek in Support Diagnostic Tool – Computer – Nieuws

Microsoft heeft aanbevelingen gepubliceerd om de risico’s van een pas ontdekt zeroday-beveiligingslek in de Microsoft Support Diagnostic Tool te beperken. Gebruikers kunnen het URL-protocol van MSDT uitschakelen.

Door als beheerder de Command Prompt van Windows te openen en vervolgens reg delete HKEY_CLASSES_ROOT\ms-msdt /f uit te voeren, kunnen gebruikers het URL-protocol van MSDT uitschakelen. Microsoft adviseert eerst een back-up te maken van de registersleutel, door het uitvoeren van reg export HKEY_CLASSES_ROOT\ms-msdt bestandsnaam. Met het commando reg import bestandsnaam is de workaround dan weer ongedaan te maken en kan de hulpsoftware weer gestart worden.

Microsoft publiceert het advies nadat er een zerodaylek was aangetroffen in de Microsoft Support Diagnostic Tool. De kwetsbaarheid betreft het aanroepen van deze tool door middel van een URL, bijvoorbeeld via een Word-document. Een aanvaller die er misbruik van maakt, kan op afstand willekeurige code uitvoeren met de rechten van het programma waarmee het URL-protocol aangeroepen wordt, zoals het genoemde Word. De kwetsbaarheid heeft de aanduiding CVE-2022-30190 gekregen en treft Windows-versies vanaf Windows 7 tot en met Windows 11 en Windows Server 2022.

Beveiligingsonderzoekers ontdekten de kwetsbaarheid in het afgelopen weekend en gaven deze de naam Follina. Het vermoeden was dat het om een Office-kwetsbaarheid ging, maar volgens Microsoft gaat het om de wijze waarop het URL-protocol van MSDT binnen Windows aangeroepen wordt. De onderzoekers troffen een doc-bestand aan met een https:-URL die in feite met JavaScript-code ms-msdt: activeerde, en daarmee de diagnostische tool. Met behulp van de commandline kunnen aanvallers zo de Program Compatibility Troubleshooter starten en tegelijk PowerShell-scripts starten, en zo bijvoorbeeld malware binnenhalen en starten.