%20%7C%20%D0%94%D0%BE%D1%81%D1%82%D0%B0%D1%82%D0%BE%D1%87%D0%BD%D0%BE%20%D0%BB%D0%B8%20%D0%BF%D0%B5%D1%80%D0%B5%D0%B8%D0%BC%D0%B5%D0%BD%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F%20%D0%BA%D0%BB%D1%8E%D1%87%D0%B0%20%D1%80%D0%B5%D0%B5%D1%81%D1%82%D1%80%D0%B0%20%C2%ABms-msdt%C2%BB%20%D0%B4%D0%BB%D1%8F%20%D0%BE%D0%B1%D1%85%D0%BE%D0%B4%D0%B0%20%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B%3F.png)
Microsoft публикует обходной путь для эксплойта msdt (Руководство по уязвимости CVE-2022-30190 средства диагностики службы поддержки Microsoft)
Предлагаемый способ — удалить ключ Computer\HKEY_CLASSES_ROOT\ms-msdtпосле создания его резервной копии:
Чтобы создать резервную копию раздела реестра, выполните команду «reg export HKEY_CLASSES_ROOT\ms-msdt filename» Выполните команду «reg delete HKEY_CLASSES_ROOT\ms-msdt /f».
Я не знаю, как работает регистрация таких обработчиков.
Вопрос:
Разве не достаточно было бы переименовать ключ следующим образом: Computer\HKEY_CLASSES_ROOT\ms-msdt__RenameBecause_cve-2022-30190или обработчик все равно будет работать независимо от имени?
Почему я это спрашиваю?: Я хотел бы предотвратить создание резервных копий реестра на каждой машине, которые могут быть утеряны.
Редактировать: Я согласен, что это лучший способ следовать рекомендациям Microsoft. Но с сотнями ПК этот способ трудно реализовать надежно (не говоря уже о том, что резервные копии реестра придется восстанавливать в какой-то момент)
решение1
Достаточно переименовать, как это сделал автор статьи.
Загадочная уязвимость нулевого дня «Follina» в Office — вот что делать!
Однако автор в итоге удалил ключ, поскольку счел это смягчение незаконченным.
Я бы также предложил удалить ключ, для полной работы. Вы можете экспортировать и сохранить ключ перед его удалением, как лучший метод для резервного копирования.