Onderzoekers hebben een zero-day kwetsbaarheid voor het uitvoeren van externe code geïdentificeerd door gebruik te maken van de Microsoft Support Diagnostics Tool (MSDT). Deze kwetsbaarheid wordt actief misbruikt. De willekeurige code wordt uitgevoerd met de privileges van de huidige gebruiker. Een aanvaller kan andere exploits koppelen om hogere privileges te krijgen.
Hoe werkt het?
- U opent een doc-bestand met boobytraps, misschien ontvangen via e-mail. De aanval kan succesvol zijn zonder het schadelijke bestand te openen - een preview van het bestand is voldoende.
- Het document verwijst naar een normaal ogende 'https:' URL die wordt gedownload.
- Deze 'https:' URL verwijst naar een HTML-bestand dat een vreemd uitziende JavaScript-code bevat.
- Het JavaScript verwijst naar een URL met de ongebruikelijke identifier 'ms-msdt:' in plaats van 'https:'.
- Op Windows is 'ms-msdt:' een eigen URL-type dat de MSDT-softwaretoolkit start.
- MSDT is een afkorting voor Microsoft Support Diagnostic Tool.
- De opdrachtregel die via de URL aan MSDT wordt geleverd, zorgt ervoor dat niet-vertrouwde code wordt uitgevoerd.
Merk op dat deze aanval wordt geactiveerd door Word die verwijst naar de malafide 'ms-msdt': URL waarnaar wordt verwezen door een URL die in het doc-bestand zelf staat. Er zijn geen Office-macro's van Visual Basic for Applications (VBA) bij betrokken, dus deze truc werkt zelfs als je Office-macro's volledig hebt uitgeschakeld.
Simpel gezegd, dit ziet eruit als wat je een handige Office-URL "functie" zou kunnen noemen, gecombineerd met een handige MSDT diagnostische "functie", om een misbruikbaar beveiligingslek te produceren dat een klik-en-krijg-hit-exploitatie van externe code kan veroorzaken. Met andere woorden, het openen van een document met boobytraps kan malware op uw computer afleveren zonder dat u het door hebt.
Workaround
Het MSDT URL-protocol uitschakelen
Als u het MSDT URL-protocol uitschakelt, wordt voorkomen dat probleemoplossers worden gestart als koppelingen, inclusief koppelingen in het hele besturingssysteem. U kunt nog steeds toegang krijgen tot probleemoplossers via de toepassing 'Get Help' en in de systeeminstellingen als andere of aanvullende probleemoplossers. Volg deze stappen om uit te schakelen:
- Voer de opdrachtprompt uit als beheerder.
- Om een back-up van de registersleutel te maken, voert u de opdracht "reg export HKEY_CLASSES_ROOT\ms-msdt bestandsnaam" uit
- Voer het commando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" uit.
De workaround ongedaan maken?
- Voer de opdrachtprompt uit als beheerder.
- Om de registersleutel te herstellen, voert u de opdracht "reg import bestandsnaam" uit