Ενημέρωση για κρίσιμη ευπάθεια στο λογισμικό Microsoft Support Diagnostic Tool – Δήμος Φυλής

ΕΞΑΙΡΕΤΙΚΑ ΕΠΕΙΓΟΝ

ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΥΠΟΥΡΓΕΙΟ ΕΣΩΤΕΡΙΚΩΝ
ΚΑΙ ΗΛΕΚΤΡΟΝΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ
ΔΙΕΥΘΥΝΣΗ ΗΛΕΚΤΡΟΝΙΚΗΣ ΔΙΑΚΥΒΕΡΝΗΣΗΣ
ΤΜΗΜΑ ΚΥΒΕΡΝΟΑΣΦΑΛΕΙΑΣ

Πληροφορίες: Δρ. Κων/νος Ιωάννου
Ταχ. Δ/νση: Ευαγγελιστρίας 2
Ταχ. Κωδ.: 10183
Τηλέφωνο: 213 136 1022
Email: [email protected]

Αθήνα, 6.6.2022
Αρ. Πρωτ.: 37122

Προς: 
Διευθύνσεις και Τμήματα Πληροφορικής
Αποκεντρωμένων Διοικήσεων της Χώρας
Περιφερειών της Χώρας
και Δήμων της Χώρας

Θέμα: « Ενημέρωση για κρίσιμη ευπάθεια στο λογισμικό Microsoft Support Diagnostic Tool»

Σας γνωρίζουμε ότι ανακαλύφθηκε κρίσιμη ευπάθεια CVE-2022-30190 στο λογισμικό Microsoft Support Diagnostic Tool (MSDT). Η εκμετάλλευση της ευπάθειας αυτής μπορεί να πραγματοποιηθεί εύκολα με το άνοιγμα ενός αρχείου Microsoft Office. Για να γίνει χρήση της τρωτότητας, δεν απαιτείται να είναι ενεργοποιημένες οι μακροεντολές.

Τις τελευταίες ημέρες παρατηρείται ενεργή εκμετάλλευση της ευπάθειας, η οποία επιτρέπει στους κακόβουλους δρώντες να εκτελέσουν κώδικα στο σύστημα-στόχο χωρίς να γίνουν αντιληπτοί. Στη συνέχεια, ο επιτιθέμενος προσπαθεί να προσπαθήσει να αποκτήσει υψηλότερα δικαιώματα στο σύστημα, να εγκαταστήσει κακόβουλο λογισμικό, να έχει πρόσβαση στα δεδομένα και να πραγματοποιήσει πλευρική κίνηση στο δίκτυο ενός Οργανισμού.

Παρόλο που η Microsoft δεν έχει εκδώσει ακόμη κάποια αναβαθμισμένη έκδοση που να αντιμετωπίζει την τρωτότητα, σας προτείνουμε ορισμένα βήματα για την ελαχιστοποίηση του κινδύνου παραβίασης του Οργανισμού σας μέσω της παραπάνω τρωτότητας:

1. Άμεση εγκατάσταση όλων των νέων ενημερωμένων εκδόσεων, μόλις αυτές κυκλοφορήσουν.
2. Εκτέλεση των παρακάτω ενεργειών στα τερματικά των χρηστών με σκοπό την απενεργοποίηση του MSDT URL πρωτοκόλλου, το οποίο καθιστά την τρωτότητα μη εκμεταλλεύσιμη από κακόβουλους χρήστες:

• Εκτέλεση του Command Prompt ως διαχειριστής
• Για την αποθήκευση εφεδρικού κλειδιού της registry, εκτέλεση της εντολής: “reg export HKEY_CLASSES_ROOTms-msdt filename“

3. Εκτέλεση της ακόλουθης εντολής: “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
4. Επαύξηση awareness των χρηστών, ενόψει πιθανών phishing email επιθέσεων με επισυναπτόμενα Microsoft Office αρχεία με πιθανό κακόβουλο περιεχόμενο.
5. Xρήση ενημερωμένων λογισμικών προστασίας στο σύνολο των συστημάτων του Οργανισμού.
6. Οι χρήστες του Microsoft Defender Antivirus, να ενεργοποιήσουν τις επιλογές «clouddelivered protection» και «automatic sample solution».
7. Οι χρήστες του «Microsoft Defender for Endpoint» να ενεργοποιήσουν την επιλογή attack surface reduction rule με τίτλο «BlockOfficeCreateProcessRule», η οποία αποκλείει τη δημιουργία child processes που εκκινούνται από τις εφαρμογές του Microsoft Office.
8. Παρακολούθηση του δικτύου για ύποπτη δραστηριότητα, ακόμη και μετά την εφαρμογή των παραπάνω βημάτων, ιδιαίτερα για child processes που εκκινούνται από τις εφαρμογές του Microsoft Office.

Για περισσότερες πληροφορίες μπορείτε να επισκεφτείτε τους συνδέσμους:

https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-tomicrosoft-protocol-nightmare/
https://businessinsights.bitdefender.com/technical-advisory-cve-2022-30190-zero-dayvulnerability-follina-in-microsoft-support-diagnostic-tool
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-supportdiagnostic-tool-vulnerability/
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaroundguidance-msdt-follina-vulnerability

Είμαστε στη διάθεσή σας.

Ο Διευθυντής

Άγγελος Κουλός

Σημείωση: Κατεβάστε την ανακοίνωση πατώντας εδώ


Πηγή

spot_imgspot_img
spot_imgspot_img

Related Articles

Ακολουθήστε μας

2,056FansLike
40FollowersFollow
spot_img
spot_img
spot_img
spot_img

Τελευταία Νέα