Microsoft, Windows 진단 도구에서 RCE 악용 경고 발행

Windows 또는 Windows Server 시스템의 문제에 대해 Microsoft 지원에 직접 문의한 적이 있는 경우 MSDT(Microsoft 지원 진단 도구)를 사용하라는 메시지가 표시되었을 수 있습니다. Windows Run(Win + R)에서 msdt를 입력하여 열 수 있습니다. 그러면 지원 담당자가 제공한 액세스 키를 입력하라는 메시지가 표시됩니다. 이것을 입력하면 일부 진단을 실행하고 추가 분석을 위해 결과를 Microsoft에 직접 보낼 수 있습니다.

그러나 Microsoft는 이제 MSDT에 존재하는 RCE(원격 코드 실행 취약점)에 대한 경고를 발표했습니다 .

문제의 문제 는 CVE-2022-30190에 대해 추적되고 있으며 심각도가 높음입니다. Microsoft는 세부 사항에 대해 설명하지 않았지만(아마도 취약점이 아직 패치되지 않았기 때문일 수 있음) Microsoft Word와 같은 호출 응용 프로그램에서 URL 프로토콜을 사용하여 MSDT를 호출할 때 RCE가 발생할 수 있다고 설명했습니다.

공격자는 호출 응용 프로그램의 권한으로 파일을 보거나 삭제하거나 수정할 수 있는 임의의 코드를 실행할 수 있습니다. 따라서 예를 들어 MSDT가 관리자 권한으로 실행되는 Microsoft Word를 통해 호출되면 공격자는 동일한 관리자 권한을 갖게 되며 이는 분명히 좋지 않습니다.

현재로서는 명령 프롬프트에서 실행할 수 있는 다음 명령을 사용하여 MSDT를 비활성화하는 것이 좋습니다.

• 명령 프롬프트를 관리자로 실행
• 레지스트리 키를 백업하려면 “reg export HKEY_CLASSES_ROOT\ms-msdt 파일 이름” 명령을 실행하십시오.
• “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” 명령을 실행합니다.

그러나 나중에 MSDT가 워크플로에 중요하기 때문에 위험을 감수하는 것을 선호하는 경우 아래 프로세스에 따라 해결 방법을 되돌릴 수 있습니다.

• 명령 프롬프트를 관리자로 실행하십시오.
• 레지스트리 키를 백업하려면 “reg import filename” 명령을 실행하십시오.

현재 Microsoft는 여전히 수정 작업을 진행하고 있습니다. 실세계 환경에서 보안 취약점이 악용되고 있어 마이크로소프트 디펜더를 통한 클라우드 기반 보호와 자동 샘플 제출이 가능하도록 하는 것이 중요하다는 점을 강조했다. 한편, Microsoft Defender Endpoint 클라이언트는 Office 응용 프로그램의 하위 프로세스에서 공격 표면을 줄이기 위한 정책도 구성해야 합니다.