Cara Melindungi Windows dari Kerentanan Microsoft Support Diagnostic Tool

 

Microsoft telah menerbitkan panduan untuk kerentanan yang baru ditemukan di MSDT (Microsoft Support Diagnostic Tool). Cacat keamanan ini baru-baru ini ditemukan oleh para peneliti dan diidentifikasi sebagai kerentanan Zero-Day Remote Code Execution dan Microsoft sekarang melacaknya sebagai CVE-2022-30190. Cacat keamanan ini dilaporkan dapat memengaruhi semua versi PC Windows yang mengaktifkan MSDT URL Protocol.

Sesuai postingan blog yang dikirimkan oleh MSRC, komputer anda menjadi rentan terhadap serangan ini ketika Microsoft Support Diagnostic Tool dipanggil menggunakan URL protocol dari memanggil aplikasi seperti MS Word. Hacker dapat mengeksploitasi kerentanan ini melalui URL yang dibuat yang menggunakan MSDT URL Protocol

Pihak Microsoft mengatakan bahwa, seorang hacker yang berhasil mengeksploitasi kerentanan ini dapat menjalankan kode arbitrer dengan hak istimewa aplikasi pemanggil. Penyerang kemudian dapat menginstal program, melihat, mengubah atau menghapus data, atau membuat akun baru dalam konteks yang diizinkan oleh hak pengguna.

Cara Melindungi Windows dari Kerentanan Microsoft Support Diagnostic Tool

Hal baiknya adalah Microsoft telah merilis beberapa solusi untuk kerentanan ini. Anda wajib melakukannya untuk melindungi PC anda dari serangan!

1. Nonaktifkan MSDT URL Protocol

Karena hacker dapat mengeksploitasi kerentanan ini melalui MSDT URL Protocol, maka itu dapat diperbaiki dengan menonaktifkan MSDT URL Protocol di system anda. Melakukan hal ini tidak akan meluncurkan pemecah masalah sebagai sebuah link. Namun, anda masih dapat mengakses pemecah masalah menggunakan fitur Get Help di system anda.

Untuk menonaktifkan MSDT URL Protocol, ikuti langkah-langkah berikut ini.

• Tekan tombol Win + R, kemudian ketik cmd dan tekan Ctrl + Shift + Enter untuk membuka Command Prompt dengan hak administrator. Anda juga dapat membuka Windows Terminal dengan hak admin dan memilih Command Prompt.

• Di jendela Command Prompt, masukan perintah berikut ini dan tekan Enter untuk membackup key registry system anda. Jangan lupa untuk mengganti file_name dengan nama file yang ingin anda berikan untuk file backup.

reg export HKEY_CLASSES_ROOT\ms-msdt file_name

• Anda kemudian dapat memeriksa filenya di folder C:\Windows\System32.

• Setelah itu, masukan perintah berikut dibawah ini dan tekan Enter untuk menonaktifkan Microsoft Support Diagnostic Tool di system anda.

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Hanya itu saja yang anda lakukan untuk menonaktifkannya. Jika anda ingin membatalkan ini untuk mengaktifkan kembali MSDT, maka jalankan kembali Command Prompt dengan hak administratordan jalankan perintah berikut dibawah ini. Ingatlah untuk menggunakan nama file yang sama dengan yang anda gunakan pada perintah sebelumnya.

reg import file_name

2. Aktifkan Detections & Protections Windows Security

Hal berikutnya yang dapat anda lakukan untuk menghindari kerentanan ini adalah mengaktifkan perlindungan yang diberikan cloud dan pengiriman sampel otomatis. Dengan melakukan ini, mesin anda dapat dengan cepat mengidentifikasi dan menghentikan kemungkinan ancaman menggunakan artificial intelligence (AI).

Jika anda adalah pelanggan Microsoft Defender for Endpoint, maka anda cukup memblokir aplikasi Office agar tidak membuat child process dengan mengaktifkan Attack Surface Reduction (ASR) BlockOfficeCreateProcessRule. Anda dapat membaca artikel ini untuk mengaktifkannya.

Sesuai Microsoft, antivirus Windows Security build 1.367.851.0 dan yang lebih baru menyediakan Detections & Protections untuk kemungkinan eksploitasi kerentanan seperti yang berikut ini.

• Trojan:Win32/Mesdetty.A  (blokir msdt command line).

• Trojan:Win32/Mesdetty.B  (blokir msdt command line).

• Behavior:Win32/MesdettyLaunch.A!blk (mengakhiri proses yang meluncurkan msdt command line).

• Trojan:Win32/MesdettyScript.A (untuk mendeteksi file HTML yang berisi perintah mencurigakan msdt).

• Trojan:Win32/MesdettyScript.B (untuk mendeteksi file HTML yang berisi perintah mencurigakan msdt)

Meskipun solusi yang disarankan oleh Microsoft dapat menghentikan serangan, namun itu masih bukan solusi yang sangat mudah karena wizard troubleshoot lainnya masih dapat diakses. Untuk menghindari ancaman ini, kita sebenarnya harus menonaktifkan juga Wizard troubleshooter lainnya.

3. Nonaktifkan Wizard Troubleshooter Menggunakan Group Policy Editor

Anda dapat menonaktifkan Troubleshooter lainnya di PC anda menggunakan Group Policy Editor. Opdau ini untuk pengguna Windows edisi Pro dan Enterprise. Untuk pengguna Windows edisi Home, aktifkan Group Policy Editor terlebih dahulu sebelum mengikuti langkah yang sama dibawah ini atau anda dapat mengikuti metode Registry Editor di bawah metode ini.

• Tekan tombol Win + R, kemudian ketik gpedit.msc dan tekan Enter untuk membuka Group Policy Editor.

• Di jendela Local Group Policy Editor, telusuri jalur berikut dibawah ini.

Computer Configuration - Administrative Templates - System -Troubleshooting and Diagnostics  - Scripted Diagnostics

• Di lokasi, klik dobel pada kebijakan Troubleshooting: Allow users to access and run Troubleshooting Wizards di panel kanan.

• Di jendela edit kebijakan, pilih Disabled, kemudian klik Apply dan OK untuk menyimpan pengaturan anda.

4. Nonaktifkan Wizard Troubleshooter Menggunakan Registry Editor

Jika anda menggunakan Windows edisi Home, maka anda dapat menggunakan Registry Editor  untuk menonaktifkan Wizard Troubleshooter. Namun ada baiknya anda membackup registry atau membuat system restore point terlebih dahulu untuk berjaga-jaga jika anda melakukan kesalahan dalam pengeditan. Setelah itu, ikuti langkah-langkah dibawah ini.

• Tekan tombol Win + R, kemudian ketik regedit dan tekan Enter untuk membuka Registry Editor.

• Di jendela Registry Editor, telusuri jalur berikut dibawah ini. 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics

• Jika anda tidak melihat key ScriptedDiagnostic di Registry Editor anda, maka klik kanan pada Windows kemudian pilih New - Key dan beri nama dengan ScriptedDiagnostics.

• Selanjutnya klik kanan pada ScriptedDiagnostics atau ruang kosong di panel kanan, kemudian pilih New - DWORD (32-bit) Value dan beri nama dengan EnableDiagnostics.

• Kemudian pastikan valuenya 0 (nol). Jika tidak, klik dobel pada EnableDiagnostics di panel kanan, kemudian ubah Value datanya menjadi 0 (nol) dan klik OK untuk menyimpan pengaturan anda.

• Setelah itu, tutup Registry Editor dan restart PC anda untuk menerapkan perubahan.

Semoga ini membantu melindungi anda. Anda kemudian dapat membaca artikel saya lainnya tentang cara menggunakan versi Command Line dari Microsoft Support and Recovery Assistant atau cara memperbaiki bug aplikasi Windows dengan Process Monitor.

Sekian artikel saya kali ini, semoga bermanfaat dan membantu anda dalam melindungi Windows dari kerentanan Microsoft Support Diagnostic Tool. Jangan lupa tinggalkan komentar anda dibawah ini untuk berbagi pemikiran serta pengalaman anda dalam mengikuti tutorial ini. Terimakasih dan GBU. BERSATU LAWAN COVID-19!!