Microsoft Support Diagnostic Tool
Microsoft Support Diagnostic Tool (MSDT) — це застарілий сервіс у Microsoft Windows, який дозволяє агентам технічної підтримки Microsoft аналізувати діагностичні дані віддалено для цілей усунення неполадок.[1] У квітні 2022 року було виявлено, що він має вразливість безпеки, яка дозволяла віддалене виконання коду, що використовувалося для атак на комп’ютери в Росії та Білорусі, а пізніше — на уряд Тибету в екзилі.[2] Microsoft рекомендував тимчасове вирішення проблеми — вимкнення MSDT шляхом редагування регістру Windows.[3]
Під час звернення до служби підтримки користувачу рекомендують запустити MSDT і надати унікальний "ключ доступу", який потрібно ввести. Також надається "номер інциденту" для унікальної ідентифікації їхньої справи. MSDT також можна запустити офлайн, що дозволяє згенерувати файл .CAB, який можна завантажити з комп'ютера з підключенням до Інтернету.[4]
CVE | CVE-2022-30190 |
---|---|
Дата виявлення | Публічно розкрито 27 травня 2022 |
Виправлення | 14 червня 2022 |
Уражене програмне забезпечення | Microsoft Security Diagnostic Tool |
Follina — це назва, що вживається для позначення вразливості віддаленого виконання коду (RCE), типу arbitrary code execution (ACE), у Microsoft Support Diagnostic Tool (MSDT), яка вперше була широко розкрито 27 травня 2022 року групою з дослідження безпеки Nao Sec.[5] Цей експлойт дозволяє віддаленому зловмиснику використовувати шаблон документа Microsoft Office для виконання коду через MSDT. Це працює за рахунок експлуатації можливості шаблонів документів Microsoft Office завантажувати додатковий контент з віддаленого сервера. Якщо розмір завантаженого контенту є достатньо великим, це викликає переповнення буфера, що дозволяє виконати корисне навантаження коду Powershell без явного повідомлення користувача. 30 травня Microsoft випустив CVE-2022-30190[6] з рекомендацією, щоб користувачі вимкнули MSDT.[7] Спостерігалися випадки, коли зловмисники експлуатували цю вразливість для атак на комп’ютери в Росії та Білорусі з квітня, і вважається, що китайські державні агенти використовували її для атак на тибетський уряд в екзилі, що базується в Індії.[8] Microsoft виправила цю вразливість у своїх патчах за червень 2022 року.[9]
Вразливість DogWalk — це вразливість віддаленого виконання коду (RCE) в інструменті підтримки Microsoft (MSDT). Вона була вперше зафіксована в січні 2020 року, але спочатку Microsoft не вважала її проблемою безпеки. Однак вразливість пізніше була експлуатована в природі, і Microsoft випустила патч для неї в серпні 2022 року.
CVE | CVE-2022-34713 |
---|---|
Дата виявлення | Публічно розкрито 27 січня 2020 |
Виправлення | 14 червня 2022 |
Уражене програмне забезпечення | Інструмент безпеки Microsoft |
Вебсайт | Microsoft Vulnerability Tracker for DogWalk |
Уражене апаратне забезпечення | Усі комп'ютери, мобільні пристрої та сервери на базі Windows |
Вразливість [1] викликана вразливістю обходу шляху в бібліотеці sdiageng.dll. Ця вразливість дозволяє зловмиснику обманути жертву, змусивши її відкрити шкідливий файл diagcab, який є типом кабінетного файлу Windows, що використовується для зберігання файлів підтримки. Коли файл diagcab відкривається, це викликає інструмент MSDT, який потім виконує шкідливий код.
Вразливість DogWalk, спочатку виявлена Митєю Колсеком, викликана вразливістю обходу шляху в бібліотеці sdiageng.dll. Ця вразливість дозволяє зловмиснику обманути жертву, змусивши її відкрити шкідливий файл diagcab, який є типом кабінетного файлу Windows, що використовується для зберігання файлів підтримки. Коли файл diagcab відкривається, це викликає інструмент MSDT, який потім виконує шкідливий код.
Вразливість експлуатується шляхом створення шкідливого файлу diagcab, який містить спеціально сформований шлях. Цей шлях містить послідовність символів, що призначена для використання вразливості обходу шляху в бібліотеці sdiageng.dll. Коли файл diagcab відкривається, інструмент MSDT намагається слідувати цьому шляху. Проте шлях міститиме символи, які не є дійсними для шляху Windows. Це призведе до збою інструмента MSDT.
Коли інструмент MSDT зазнає збою, він генерує дамп пам’яті. Цей дамп пам’яті міститиме шкідливий код, який був виконаний інструментом MSDT. Зловмисник може використовувати цей дамп пам’яті, щоб витягти шкідливий код і виконати його на своєму комп’ютері.[10][11]
Microsoft більше не підтримуватиме вбудовані засоби усунення неполадок Windows. У 2025 році Microsoft повністю видалить платформу MSDT.[12] Отримати допомогу є заміною.
- Windows 7
- Windows 8.1
- Windows 10
- Windows 11 (до 22H2)
Майбутні версії та оновлення функцій знецінять MSDT після 23 травня 2023 року.
- ↑ Rabia Noureen (31 травня 2022). Microsoft визнає вразливість нульового дня в Office, що впливає на діагностичний інструмент Windows. petri.com.
- ↑ Carly Page (1 червня 2022). Хакери, пов'язані з Китаєм, експлуатують невиправлену вразливість Microsoft. techcrunch.com.
- ↑ MSRC (30 травня 2022). Рекомендації щодо вразливості CVE-2022-30190 інструменту підтримки Microsoft.
- ↑ Як запустити інструмент підтримки Microsoft у Windows 10. 2 травня 2019.
- ↑ Corin Faife (1 червня 2022). Хакери, пов'язані з Китаєм, експлуатують нову вразливість у Microsoft Office. theverge.com.
- ↑ Вразливість віддаленого виконання коду в інструменті підтримки Microsoft Windows (MSDT).
- ↑ MSRC (30 травня 2022). Рекомендації щодо вразливості CVE-2022-30190 інструменту підтримки Microsoft.
- ↑ Carly Page (1 червня 2022). Хакери, пов'язані з Китаєм, експлуатують невиправлену вразливість Microsoft нульового дня. techcrunch.com.
- ↑ Vijayan, Jai (14 червня 2022). Microsoft виправляє вразливість нульового дня "Follina" у щомісячному оновленні безпеки. Dark Reading. Процитовано 14 червня 2022.
- ↑ Новий нульовий день 'DogWalk' у Windows отримує безкоштовні неофіційні патчі. BleepingComputer (укр.). Процитовано 22 травня 2023.
- ↑ Microsoft виправляє нульовий день Windows DogWalk, який експлуатувався в атаках. BleepingComputer (укр.). Процитовано 22 травня 2023.
- ↑ Скасування Microsoft Support Diagnostic Tool (MSDT) та засобів усунення неполадок MSDT - Підтримка Microsoft. support.microsoft.com. Процитовано 22 травня 2023.