MSDT per GPO deaktivieren

wolfble
Goto Top
Da es ja mal wieder eine neuer Sicherheitlücke gibt wollte ich der Empfehlung folgen und die Funktion abschalten.
Leider existiert der entsprechende Eintrag bei mir nicht.

https://www.pwndefend.com/2022/05/30/office-microsoft-support-diagnostic ...

umd dieses Ding geht es

image-26

Die GPO ist hier natürlich englisch und ich habe die Deutsche Version. Weis der Geier wie das wieder übersetzt wurde und wo sie es versteckt haben.

Ich habe mal ein Bild noch angehängt wie das bei mir aussieht.

gpo

Danke schon mal im vorrraus

Content-Key: 2958132919

Url: https://administrator.de/contentid/2958132919

Ausgedruckt am: 04.07.2022 um 01:07 Uhr

Mitglied: mbehrens
Lösung mbehrens 01.06.2022 um 17:19:19 Uhr
Goto Top
Damit dürfte wohl


unter


gemeint sein.
Mitglied: wolfble
wolfble 01.06.2022 um 17:46:41 Uhr
Goto Top
Hab es auch grade gefunden .. cool vielen Dank face-smile
Mitglied: leon123
leon123 01.06.2022 aktualisiert um 21:58:14 Uhr
Goto Top
Danke!

Ist das der richtige weg? Lieber die GPO in der Domäne als mit den Keys hantieren?

Welche Auswirkungen hat das noch wenn man MSDT.exe über die GPO deaktiviert?


Wenn das Thema erledigt ist, einfach die GPO wieder aktivieren?
Mitglied: mbehrens
mbehrens 01.06.2022 um 22:09:45 Uhr
Goto Top
Zitat von @leon123:

Ist das der richtige weg?

Das muss jeder für seine Umgebung selbst beurteilen. Microsoft sagt, nein.
Mitglied: eggired
eggired 01.06.2022 um 22:37:53 Uhr
Goto Top
Zitat von @leon123:
Ist das der richtige weg? Lieber die GPO in der Domäne als mit den Keys hantieren?

Es gibt hier durchaus angeregte Diskussionen, es heißt, es wäre der elegantere Weg… Warum Microsoft das aber (noch?) nicht als offizielle Mitigationsmaßnahme verkündet… Keine Ahnung.
Bei uns wurden am Ende beide Möglichkeiten (GPO und der „offizielle Weg“ der per Registry-Bearbeitung) miteinander kombiniert.

Welche Auswirkungen hat das noch wenn man MSDT.exe über die GPO deaktiviert?

Bis jetzt habe ich nur festgestellt, dass die Problembehandlung einen Fehler schmeißt à la „Mimimimi, ich wurde durch eine Gruppenrichtlinie deaktiviert“.
Mehr bisher nicht.

Wenn das Thema erledigt ist, einfach die GPO wieder aktivieren?

Bleibt aus meiner Sicht abzuwarten, wie es genau weiter geht…

Am Ende des Tages hat mir die Windows-Problembehandlung der Erinnerung nach vielleicht in 1 von 100 Fällen mal tatsächlich „geholfen“, anstatt nur auszugeben „Danke fürs Durchklickern, aber ich kann Dir nicht helfen“.
Vermissen würde ich sie daher schon mal nicht. 😇
Mitglied: leon123
leon123 01.06.2022 aktualisiert um 22:47:46 Uhr
Goto Top
Hast du den Registry Key per GPO gelöscht?


Naja was mir aufgefallen ist die msdt.exe kann auf den PCs ohne Adminrechte ohnehin nicht gestartet werden. Daher gehe ich davon aus, dass die GPO allein nicht die Lösung ist.

Er hier schlägt sogar 4 Maßnahmen vor:
https://www.iok.net/deepdive-poc-cve-2022-30190-follina
Mitglied: mbehrens
mbehrens 01.06.2022 um 22:51:20 Uhr
Goto Top
Zitat von @leon123:

Naja was mir aufgefallen ist die msdt.exe kann auf den PCs ohne Adminrechte ohnehin nicht gestartet werden.

Das kann ich so nicht bestätigen.
Mitglied: leon123
leon123 01.06.2022 um 22:54:34 Uhr
Goto Top
Zitat von @mbehrens:

Zitat von @leon123:

Naja was mir aufgefallen ist die msdt.exe kann auf den PCs ohne Adminrechte ohnehin nicht gestartet werden.

Das kann ich so nicht bestätigen.

Hmm Okay bei mir kommt die Aufforderung mich anzumelden, zumindest auf dem Terminalserver 2012R2 mit Office 2013.

Komischerweise gibt es hier auch die Registry Keys nicht...
Mitglied: mbehrens
mbehrens 01.06.2022 um 23:12:54 Uhr
Goto Top
Zitat von @leon123:

Hmm Okay bei mir kommt die Aufforderung mich anzumelden, zumindest auf dem Terminalserver 2012R2 mit Office 2013.

Einfach mal passende Seiten auf einem Webserver hinterlegen und sich wieder einmal wundern, was die vermeintlichen Sicherheitsprodukte so alles nicht finden.
Mitglied: eggired
eggired 02.06.2022 um 06:49:05 Uhr
Goto Top
Zitat von @leon123:

Hast du den Registry Key per GPO gelöscht?

Nein, mit einem kleinen per Softwareverteilung verteilten Script.

Naja was mir aufgefallen ist die msdt.exe kann auf den PCs ohne Adminrechte ohnehin nicht gestartet werden. Daher gehe ich davon aus, dass die GPO allein nicht die Lösung ist.
Auf einem Client oder einem Terminalserver?
Wenn auf einem TS, dann ist die GPO nach dem, was ich so lese wohl doch die Lösung.
Natürlich kann man aber ja noch weitere Gegenmaßnahmen, beispielsweise aus dem Blog-Beitrag ergänzend fahren.
Mitglied: ukulele-7
ukulele-7 02.06.2022 um 09:14:34 Uhr
Goto Top
Ich bin irgendwie auch noch neu in dem Thema, habe mich nie mit MSDT.exe befasst (befassen müssen). Wenn die wirklich nur für die Fehlerbehandlung ist hätte ich nichts dagegen die einfach deaktiviert zu lassen.
Zitat von @eggired:

Auf einem Client oder einem Terminalserver?
Wenn auf einem TS, dann ist die GPO nach dem, was ich so lese wohl doch die Lösung.
Natürlich kann man aber ja noch weitere Gegenmaßnahmen, beispielsweise aus dem Blog-Beitrag ergänzend fahren.
Warum unterscheidet sich das Verhalten denn auf Terminalservern, hast du einen Link?
Mitglied: Doskias
Doskias 02.06.2022 um 14:12:00 Uhr
Goto Top
Moin
Zitat von @ukulele-7:
Ich bin irgendwie auch noch neu in dem Thema, habe mich nie mit MSDT.exe befasst (befassen müssen). Wenn die wirklich nur für die Fehlerbehandlung ist hätte ich nichts dagegen die einfach deaktiviert zu lassen.
geht mir genau so.

Aber wenn ich das ganze richtig verstanden habe, ist es doch wieder mal ein Exploit der darauf abzielt, dass von einer Website ein schädlicher Code nachgeladen wird, oder? Wenn ich https://www.iok.net/deepdive-poc-cve-2022-30190-follina in Zeile 10 richtig verstehe, denn dort steht:
Target=“embeddings/oleObject1.bin“ durch Target = „http://zielserver/test.html!&ldquo" TargetMode = „External“ ersetzen
Heißt doch aber im Umkehrschluss auch: Dass wenn ich eine White-List-Firewall nutze, dann müsste der Schadcode aus einer der freigegebenen Seite stammen, damit die Firewall diesen überhaupt durchlässt, oder?

Gruß
Doskias
Mitglied: leon123
leon123 08.06.2022 um 08:34:20 Uhr
Goto Top
Ich habe auf den Clients mittlerweile die registry Einträge entfernt. Nur was mach ich mit dem 2012er Server mit Office 2023 pro plus? Hier gibt es denn Eintrag nicht.

Reicht es mit gpo Lokal zu deaktivieren?
Mitglied: wolfble
wolfble 08.06.2022 um 09:04:02 Uhr
Goto Top
Du kannst den Registry Eintrag auch per GPO löschen