COM PLUS SECURITYStaráme se o bezpečnost Vašich dat

Jedná se o takzvanou zero-day chybu

  • Kritická chyba v Microsoft Office má alespoň částečné řešení.
  • Aktivně se zneužívá hackery.
  • Microsoft doporučuje zablokovat protokol MSDT URL či vypnout použití náhledů dokumentů v Průzkumníku.

Microsoft sice stále nenabízí plnohodnotné řešení na nedávno odhalenou závažnou bezpečnostní chybu, která postihuje kancelářskou sadu Office, přinesl však mezitím alespoň návody, jak problém co nejvíce eliminovat. 

Nejnovější zranitelnost zneužívá funkci Microsoft Windows Support Diagnostic Tool (MSDT), která standardně v systému slouží k odesílání diagnostických údajů. Při náhledu nebo otevírání škodlivého dokumentu se automaticky stáhne speciálně připravený HTML soubor, který následně zneužitím funkce „ms-msdt://“ spustí na počítači škodlivý kód.

Samotná zranitelnost se již podle dostupných informací aktivně zneužívá hackerskými skupinami k útokům na různé cíle. Není nutné ani povolení spouštění maker uživatelem. Škodlivý kód se spouští okamžitě po otevření škodlivého souboru. Dávejte si pozor na to, z jakých zdrojů dokumenty otevíráte.

Microsoft doporučuje administrátorům zablokovat využívání protokolu MSDT URL. Ten se typicky využívá při útocích na systémy při vzdáleném spouštění škodlivých kódů.

K zablokování protokolu MSDT URL má fungovat následující postup:

1. Spusťte Příkazový řádek (Command Prompt) v režimu Správce (Administrátor).

2. Za účelem zálohování příslušného registračního klíče spusťte přes příkazový řádek následující příkaz: „reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg“

3. Následně spusťte následující příkaz: „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“

Po uvolnění bezpečnostní aktualizace, budete moci změnu vrátit zpět přes příkazový řádek a příkaz reg import ms-msdt.reg, přičemž název souboru má být takový, jaký byl vytvořen při výše zmíněném procesu zablokování protokolu.

Microsoft také uvádí, že jeho bezpečnostní řešení Defender Antivirus 1.367.719.0 a novější by měl detekovat případné pokusy o zneužití chyby jako škodlivý kód s následujícími signaturami:

  • Trojan:Win32/Mesdetty.A
  • Trojan:Win32/Mesdetty.B
  • Behavior:Win32/MesdettyLaunch.A
  • Behavior:Win32/MesdettyLaunch.B
  • Behavior:Win32/MesdettyLaunch.C

Pomoci bránit se by mohlo i zablokování panelu pro zobrazování ukázek (Preview pane) v rámci Průzkumníka (Windows Explorer).

Již samotný náhled dokumentu totiž může způsobit spuštění škodlivého kódu.

Comments are closed.

2. 6. 2022
No Comment