CVE-2022-34713

Microsoft Windows

ВЕРОЯТНОСТЬ 4.5%
Дата обнаружения

2022-08-09

Официальное описание

A remote code execution vulnerability exists when Microsoft Windows MSDT is called using the URL protocol from a calling application.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-34713 (известная как DogWalk) — это критическая уязвимость в инструменте диагностики поддержки Microsoft (MSDT), позволяющая выполнить произвольный код (RCE). Проблема заключается в некорректной обработке путей при использовании URL-протокола ms-msdt. Злоумышленник может создать специально подготовленный файл .diagcab и разместить его на сетевом ресурсе или отправить по почте. При открытии такого файла через браузер или другое приложение, механизм MSDT позволяет обойти проверку безопасности и поместить вредоносный исполняемый файл в папку автозагрузки Windows (Startup), что приведет к его выполнению при следующем входе пользователя в систему.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Cumulative Updates), выпущенных в августе 2022 года или позже.

  1. Откройте «Параметры» (Settings) -> «Обновление и безопасность» (Update & Security).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите все доступные накопительные пакеты обновления.

Для автоматизации процесса в корпоративной среде через PowerShell:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если установка обновлений невозможна, необходимо отключить обработку протокола MSDT URL. Это предотвратит запуск средства диагностики через ссылки, что является основным вектором атаки.

1. Резервное копирование и удаление ключа реестра

Выполните следующие команды для сохранения копии ключа и его удаления:

reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt_backup.reg
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

2. Отключение предварительного просмотра в проводнике

Для минимизации рисков при работе с файлами рекомендуется отключить панель предварительного просмотра (Preview Pane):

  1. Откройте Проводник (File Explorer).
  2. Перейдите на вкладку «Вид» (View).
  3. Деактивируйте «Область просмотра» (Preview pane).

3. Настройка групповых политик (GPO)

Для доменных систем рекомендуется отключить запуск средств диагностики через реестр или GPO:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics" /v "ModificationAllowed" /t REG_DWORD /d 0 /f
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей