Hace dos días, investigadores de seguridad revelaron una vulnerabilidad en la Microsoft Support Diagnostic Tool (Herramienta de Diagnóstico de Soporte de Microsoft), que afecta a todas las versiones de cliente y servidor del sistema operativo Windows.

La herramienta, diseñada para comunicarse con el servicio de asistencia técnica, está integrada en Windows por defecto. Microsoft confirmó el problema y publicó una página de soporte para proporcionar a los administradores de sistemas información sobre la vulnerabilidad.

La vulnerabilidad aprovecha un problema en el manejo del protocolo del sistema operativo Windows. Un atacante puede explotarlo a través de aplicaciones que utilizan el protocolo URL para llamar a la Herramienta de Diagnóstico de Soporte de Microsoft. La explotación exitosa del problema permite a los atacantes ejecutar código arbitrario con los mismos privilegios que la aplicación desde la que se originó el ataque.

Los atacantes pueden utilizarlo para instalar o eliminar programas de los equipos Windows, eliminar o modificar datos, crear nuevas cuentas de usuario, acceder a archivos o realizar cambios en el Registro de Windows.

Solución de Microsoft para la vulnerabilidad de la Microsoft Support Diagnostic Tool (Herramienta de Diagnóstico de Soporte), de Microsoft

Microsoft publicó la solución para reducir la superficie de ataque de la vulnerabilidad. La solución publicada no protege por completo los sistemas Windows, ya que todavía es posible acceder a los solucionadores de problemas a través de la aplicación Get Help y en la configuración del sistema.

Esta es la solución oficial:

  • Abra el menú Start (Inicio).
  • Escriba Command Promp (Símbolo del Sistema).
  • Seleccione Run as administrator (Ejecutar como administrador) para lanzar una ventana elevada de Símbolo del Sistema.
  • Confirme el aviso UAC.
  • Ejecute el comando reg export HKEY_CLASSES_ROOT\ms-msdt regbackupmsdt.reg para hacer una copia de seguridad de la clave ms-msdt. El archivo de Registro por defecto se guarda en C:\Windows\System32, pero puede añadir otra ubicación delante del nombre del archivo regbackupmsdt.reg.
  • Ejecute el comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f para eliminar la clave.

Puede restaurar la clave en cualquier momento ejecutando reg import regbackupmsdt.reg desde una ventana elevada del símbolo del sistema. Tenga en cuenta que puede ser necesario especificar la ubicación del archivo de copia de seguridad del Registro si se encuentra en otra parte del sistema.

Microsoft pide que los clientes con Microsoft Defender Antivirus habiliten la protección en la nube y el envío automático de muestras en la aplicación. Los clientes de Microsoft Defender for Endpoint pueden habilitar la regla de reducción de la superficie de ataque BlockOfficeCreateProcessRule para proteger aún más los sistemas. Al habilitar la regla, se bloquea la creación de procesos secundarios por parte de las aplicaciones de Office.

Microsoft Defender Antivirus 1.367.851.0 o superior ofrece detecciones y protecciones contra posibles exploits según Microsoft:

  • Trojan:Win32/Mesdetty.A? (bloquea la línea de comandos msdt)
  • Trojan:Win32/Mesdetty.B? (bloquea la línea de comandos de msdt)
  • Behavior:Win32/MesdettyLaunch.A!blk (termina el proceso que lanzó la línea de comandos msdt)
  • Trojan:Win32/MesdettyScript.A (detecta los archivos HTML que contienen el comando sospechoso msdt)
  • Trojan:Win32/MesdettyScript.B (detecta los archivos HTML que contienen el comando sospechoso msdt)

Una mejor solución para la vulnerabilidad de la Microsoft Support Diagnostic Tool

Existe una mejor solución para la vulnerabilidad de la Microsoft Support Diagnostic Tool (Herramienta de Diagnóstico de Soporte de Microsof), pues la solución de Microsoft no resuelve la vulnerabilidad por completo en el sistema. Aunque puede detener la mayoría de los ataques, no los detendrá todos, ya que todavía es posible acceder a los asistentes de solución de problemas.

Benjamin Delpy publicó en Twitter una solución mejor que desactiva los Asistentes de Solución de Problemas en Windows mediante la Política de Grupo. (vía Deskmodder)

Los administradores y usuarios de Windows pueden cambiar la política en el Group Policy Editor (Editor de Políticas de Grupo), o editando el Windows Registry (Registro de Windows), directamente.

Cómo usar el Group Policy (Política de Grupo)

Tenga en cuenta que normalmente el Group Policy Editor (Editor de Políticas de Grupo), sólo está disponible en las versiones profesionales del sistema operativo Windows. Puede comprobar la versión abriendo la aplicación Settings (Configuración) y yendo a System > About (Sistema > Acerca de).

El Group Policy Editor (Editor de Políticas de Grupo), es una de las herramientas más poderosas que permite a los usuarios administrar las configuraciones ocultas utilizadas para habilitar o deshabilitar algunas características bastante útiles de Windows. Desde Windows 10, Microsoft ha suministrado Group Policy Editor sólo para las versiones Pro y Enterprise de Windows, pero no para las versiones Home.

El tutorial publicado anteriormente en este mismo blog también le permitirá usar el Editor de Políticas de Grupo en las Ediciones Home de Windows 10. Si está leyendo esto, entonces ya sabe que el Editor de Políticas de Grupo normalmente no funciona en Windows 10 Home Edition. Para ver como proceder a habilitar el Editor de Políticas de Grupo en las ediciones Home de Windows 10 véalo en este enlace.

Para proceder haga lo siguiente:

  • Abra el menú Start (Inicio).
  • Escriba gpedit.msc y pulse la tecla Enter para iniciar el Group Policy Editor (Editor de Políticas de Grupo0.
  • Vaya a Computer Configuration > Administrative Templates > System > Troubleshooting and Diagnostics > Scripted Diagnostics (Configuración del equipo > Plantillas administrativas > Sistema > Solución de problemas y diagnósticos > Diagnósticos con Script).
  • Haga doble clic en la política Troubleshooting: Allow users to access and run Troubleshooting Wizards (Solución de problemas: Permitir a los usuarios el acceso y la ejecución de los Asistentes de Solución de Problemas).
  • Establezca el estado de la política en Disabled (Desactivado), para bloquear a los usuarios del sistema el lanzamiento de herramientas de solución de problemas.
  • Seleccione OK (Aceptar) para completar el cambio.

La política es compatible con todos los sistemas Windows a partir de Windows 7 en el lado del cliente y Windows Server 2008 R2 en el lado del servidor.

Tenga en cuenta que esto elimina la opción de que el usuario ejecute los solucionadores de problemas en el sistema. Puede deshacer el cambio en cualquier momento estableciendo el estado de la política como Not Configured (No configurado) por default (defecto), o Enabled (Habilitado). Es posible que los administradores y usuarios del sistema quieran deshacer el cambio una vez que Microsoft lance un parche oficial en una futura actualización.

Cómo usar el Registry Editor (Editor del Registro)

Los administradores y usuarios de Windows pueden editar el Windows Registry (Registro de Windows), para no permitir la ejecución de los asistentes de solución de problemas en el sistema; esta es la mejor opción en los sistemas domésticos, que normalmente no admiten el Group Policy Editor (Editor de Políticas de Grupo), pero algunos administradores también pueden preferir la edición del Registro en lugar de la directiva de grupo.

Abra el menú de Start (Inicio), de Windows.

  • Escriba regedit.exe y pulse la tecla Enter; esto abre el Windows Registry (Editor del Registro), de Windows.
  • Confirme el aviso de UAC.
  • Vaya a Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics.
  • Es posible que una o más de las claves listadas no existan. Es posible que tenga que crear las claves que faltan haciendo clic con el botón derecho en la clave anterior y seleccionando New > Key (Nueva > Clave) en el menú contextual. Repita el proceso hasta que todas las claves estén presentes.
  • Haga clic con el botón derecho en ScriptedDiagnostics y seleccione New > Dword (32-bit) Value (Nuevo > Valor de palabra (32 bits)).
  • Nómbrelo EnableDiagnostics.
  • Haga doble clic en EnableDiagnostics y establezca el valor de la palabra clave en 0.
  • Cierre la ventana del Windows Registry (Editor del Registro).
  • Reinicie el PC con Windows para aplicar el cambio.

Para deshacer el cambio, haga clic con el botón derecho en EnableDiagnostics en el Windows Registry (Editor del Registro de Windows) y seleccione la opción Delete (Eliminar). Se requiere un reinicio del sistema operativo Windows para aplicar el cambio.

Vulnerabilidad del protocolo de Windows Search (Búsqueda de Windows)

Ayer se reveló otra vulnerabilidad en el manejo de protocolos en Windows. La nueva vulnerabilidad aprovecha un problema en el manejador del protocolo de Windows Search (Búsqueda de Windows) search-ms.

La nueva vulnerabilidad, revelada por el usuario de Twitter hackerfantastic.crypto, puede ser explotada para lanzar una ventana de búsqueda de Windows automáticamente cuando se abre un documento de Office. La ventana de búsqueda puede mostrar archivos ejecutables en un recurso compartido SMB remoto utilizando nombres como Critical Updates para conseguir que los usuarios instalen el malware.

Los atacantes también pueden aprovechar el panel de vista previa del Explorer (Explorador) y los documentos RTF especialmente preparados para lanzar la ventana de búsqueda automáticamente cuando el documento se muestra en el panel de vista previa del administrador de archivos.

El problema requiere la interacción del usuario, pero aun así podría llevar a la infección del sistema operativo del usuario si éste no tiene cuidado con lo que abre en sus dispositivos.

Microsoft aún no ha confirmado el nuevo problema. Los administradores y usuarios de Windows pueden bloquearlo borrando el manejador del protocolo search-ms en el Windows Registry (Registro de Windows):

  • Abra el menú Start (Inicio).
  • Escriba Command Prompt (Símbolo del Sistema).
  • Seleccione Run as administrator (Ejecutar como administrador), para lanzar una ventana elevada de símbolo del sistema.
  • Confirme el aviso UAC.
  • Ejecute el comando reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg para hacer una copia de seguridad de la clave del Registro.
  • Ejecute el comando reg delete HKEY_CLASSES_ROOT\search-ms /f para eliminar la clave del Registro.
  • Cierre el Registry Editor (Editor del Registro).
  • Reinicie el PC para aplicar el cambio.

Para restaurar la funcionalidad, ejecute reg import search-ms.reg desde una ventana elevada del símbolo del sistema.

Fuente: GH