%20vollst%C3%A4ndig%3F.png)
Kürzlich wurde ein Exploit veröffentlicht, der URIs nutzte, um MSDT zu öffnen und beliebigen Code auszuführen.Vorschlag von Microsoftbestand darin, den dem Protokoll entsprechenden Registrierungsschlüssel zu löschen ms-msdt://.
Leider bleibt MSDT dadurch immer noch aktiv und vermutlich über andere Wege ausnutzbar. Persönlich habe ich MSDT nie verwendet und würde es auch nie brauchen. Die Suche nach „So deaktivieren Sie MSDT“ (Ergebnisse gefiltert nach vor dem 1. Mai 2022) lieferte mir dieses Ergebnis zur VorgehensweiseDeaktivieren der Kommunikation von MSDT mit Microsoft:
Registrierungsstruktur:
HKEY_LOCAL_MACHINEUnterschlüssel:
\Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\Wertname:
DisableQueryRemoteServerTyp:
REG_DWORDWert:
0
Ich habe jedoch keine weiteren Ergebnisse gefunden. Gibt es eine Möglichkeit, MSDT vollständig zu deaktivieren? Würde das einfache Löschen von msdt.exe tatsächlich die Stabilität des Systems beeinträchtigen?
Antwort1
Ich denke, dass man theoretisch versuchen könnte, die Berechtigungen zu ändern, %WINDOWS%\System32\msdt.exeindem man die Ausführungsrechte vorübergehend entzieht. Das ist jedoch keine Garantie dafür, dass die Funktionalität selbst nicht über andere Aufrufe über die API zugänglich ist. Aber zumindest sollte niemand in der Lage sein, sie über die Eingabeaufforderung auszuführen.