Een zero-day in Microsofts Support Diagnostic Tool maakt het mogelijk voor kwaadwillende hackers om door middel van een omgezet Word-document malware in een systeem te injecteren. De kwetsbaarheid werd ontdekt door Nao_sec en is ondertussen door Microsoft erkend en onder de naam CVE-2022-30190 in kaart gebracht. Er is nog geen Windows-update voor de kwetsbaarheid uitgebracht, maar Windows Defender is al wel geüpdatet om een aanval via de beschreven route te herkennen. Dat was dus tot voor kort ook niet het geval.
De exploit maakt gebruik code die uitgevoerd kan worden door de Microsoft Support Diagnostic Tool (msdt), die een naar een malafide url doorverwezen kan worden. Macros worden doorgaans geblokkeerd om misbruik te voorkomen, maar een beveiligingsonderzoeker ontdekte dat deze macroblokkade omzeild kan worden door het malafide Word-bestand om te vormen naar een Rich Text Format. Op deze manier kan de code in het Word-bestand uitgevoerd worden, zonder dat het document überhaupt geöpend wordt.
Vooralsnog is er een workaround door Microsoft gedeeld, waarbij de gebruiker het msdt-protocol kan uitschakelen. Dit vereist het aanpassen van de registry, wat een vrij geavanceerd proces is.
- Start Opdrachtprompt als administrator
- Maak een backup van de registersleutel HKEY_CLASSES_ROOT\ms-msdt door in het opdrachtprompt het commando "reg export HKEY_CLASSES_ROOT\ms-msdt filename" uit te voeren
- Verwijder nu het gebruik van het msdt-protocol door "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" via de opdrachtprompt uit te voeren
