ΕΞΑΙΡΕΤΙΚΑ ΕΠΕΙΓΟΝ
ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ Πληροφορίες: Δρ. Κων/νος Ιωάννου |
Αθήνα, 6.6.2022 Προς: |
Θέμα: « Ενημέρωση για κρίσιμη ευπάθεια στο λογισμικό Microsoft Support Diagnostic Tool»
Σας γνωρίζουμε ότι ανακαλύφθηκε κρίσιμη ευπάθεια CVE-2022-30190 στο λογισμικό Microsoft Support Diagnostic Tool (MSDT). Η εκμετάλλευση της ευπάθειας αυτής μπορεί να πραγματοποιηθεί εύκολα με το άνοιγμα ενός αρχείου Microsoft Office. Για να γίνει χρήση της τρωτότητας, δεν απαιτείται να είναι ενεργοποιημένες οι μακροεντολές.
Τις τελευταίες ημέρες παρατηρείται ενεργή εκμετάλλευση της ευπάθειας, η οποία επιτρέπει στους κακόβουλους δρώντες να εκτελέσουν κώδικα στο σύστημα-στόχο χωρίς να γίνουν αντιληπτοί. Στη συνέχεια, ο επιτιθέμενος προσπαθεί να προσπαθήσει να αποκτήσει υψηλότερα δικαιώματα στο σύστημα, να εγκαταστήσει κακόβουλο λογισμικό, να έχει πρόσβαση στα δεδομένα και να πραγματοποιήσει πλευρική κίνηση στο δίκτυο ενός Οργανισμού.
Παρόλο που η Microsoft δεν έχει εκδώσει ακόμη κάποια αναβαθμισμένη έκδοση που να αντιμετωπίζει την τρωτότητα, σας προτείνουμε ορισμένα βήματα για την ελαχιστοποίηση του κινδύνου παραβίασης του Οργανισμού σας μέσω της παραπάνω τρωτότητας:
1. Άμεση εγκατάσταση όλων των νέων ενημερωμένων εκδόσεων, μόλις αυτές κυκλοφορήσουν.
2. Εκτέλεση των παρακάτω ενεργειών στα τερματικά των χρηστών με σκοπό την απενεργοποίηση του MSDT URL πρωτοκόλλου, το οποίο καθιστά την τρωτότητα μη εκμεταλλεύσιμη από κακόβουλους χρήστες:
• Εκτέλεση του Command Prompt ως διαχειριστής
• Για την αποθήκευση εφεδρικού κλειδιού της registry, εκτέλεση της εντολής: “reg export HKEY_CLASSES_ROOTms-msdt filename“
3. Εκτέλεση της ακόλουθης εντολής: “reg delete HKEY_CLASSES_ROOTms-msdt /f”.
4. Επαύξηση awareness των χρηστών, ενόψει πιθανών phishing email επιθέσεων με επισυναπτόμενα Microsoft Office αρχεία με πιθανό κακόβουλο περιεχόμενο.
5. Xρήση ενημερωμένων λογισμικών προστασίας στο σύνολο των συστημάτων του Οργανισμού.
6. Οι χρήστες του Microsoft Defender Antivirus, να ενεργοποιήσουν τις επιλογές «clouddelivered protection» και «automatic sample solution».
7. Οι χρήστες του «Microsoft Defender for Endpoint» να ενεργοποιήσουν την επιλογή attack surface reduction rule με τίτλο «BlockOfficeCreateProcessRule», η οποία αποκλείει τη δημιουργία child processes που εκκινούνται από τις εφαρμογές του Microsoft Office.
8. Παρακολούθηση του δικτύου για ύποπτη δραστηριότητα, ακόμη και μετά την εφαρμογή των παραπάνω βημάτων, ιδιαίτερα για child processes που εκκινούνται από τις εφαρμογές του Microsoft Office.
Για περισσότερες πληροφορίες μπορείτε να επισκεφτείτε τους συνδέσμους:
• https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-tomicrosoft-protocol-nightmare/
• https://businessinsights.bitdefender.com/technical-advisory-cve-2022-30190-zero-dayvulnerability-follina-in-microsoft-support-diagnostic-tool
• https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-supportdiagnostic-tool-vulnerability/
• https://www.cisa.gov/uscert/ncas/current-activity/2022/05/31/microsoft-releases-workaroundguidance-msdt-follina-vulnerability
Είμαστε στη διάθεσή σας.
Ο Διευθυντής
Άγγελος Κουλός
Σημείωση: Κατεβάστε την ανακοίνωση πατώντας εδώ