Se você já entrou em contato com o suporte da Microsoft diretamente sobre algum problema em seu sistema Windows ou Windows Server, possivelmente foi direcionado para usar a Ferramenta de diagnóstico de suporte da Microsoft (MSDT). Você pode abri-lo digitando msdt no Windows Run (Win + R), após o qual será solicitada uma chave de acesso fornecida pelo representante de suporte. Depois de inserir isso, você poderá executar alguns diagnósticos e enviar os resultados diretamente à Microsoft para análise posterior.
No entanto, a Microsoft agora emitiu um comunicado sobre uma vulnerabilidade de execução remota de código (RCE) presente no MSDT. A falha de segurança afeta praticamente todas as versões com suporte do Windows e do Windows Server, incluindo Windows 7, 8.1, 10, 11, Windows Server 2008, 2012, 2016, 2019 e 2022.
O problema em questão está sendo rastreado sob CVE-2022-30190 e tem um alto nível de gravidade. Embora a Microsoft não tenha entrado em todos os detalhes – provavelmente porque a falha ainda não foi corrigida -, ela explicou que o RCE pode acontecer quando o MSDT é invocado usando o protocolo URL de um aplicativo de chamada, como o Microsoft Word.
O invasor poderá executar código arbitrário que pode visualizar, excluir ou alterar seus arquivos por meio dos privilégios do aplicativo de chamada. Assim, por exemplo, se o MSDT for invocado por meio do Microsoft Word executado com privilégios de administrador, um invasor obterá os mesmos privilégios de administrador – o que obviamente não é bom.
Por enquanto, a Microsoft recomendou desabilitar o MSDT por meio dos seguintes comandos que você pode executar no prompt de comando:
Execute o prompt de comando como administrador
Para fazer backup da chave de registro, execute o comando “reg export HKEY_CLASSES_ROOTms-msdt filename”
Execute o comando “reg delete HKEY_CLASSES_ROOTms-msdt /f”
No entanto, se você descobrir mais tarde que prefere correr o risco porque a MSDT é fundamental para seu fluxo de trabalho, poderá reverter a solução alternativa por meio do seguinte processo:
Execute o prompt de comando como administrador:
Para reimportar a chave de registro, execute o comando “reg import filename “
Atualmente a Microsoft ainda está trabalhando em uma correção. Ela destacou que a falha de segurança está sendo explorada em estado em massa, por isso é importante habilitar a proteção fornecida na nuvem e o envio automático de amostras por meio do Microsoft Defender. Enquanto isso, os clientes do Microsoft Defender for Endpoint também devem configurar políticas para reduzir a superfície de ataque de processos filho de aplicativos do Office.
