Microsoft в 2025 году прекратит поддержку диагностической утилиты Microsoft Support Diagnostic Tool (MSDT) и удалит код сервиса из новых версий Windows 11.
MSDT – это сервис в Windows 11/10/8.1/7, который собирает информацию для отправки в службу технической поддержки Microsoft. При обращении к службе поддержки Microsoft специалист поддержки выдаёт ключ, который вводится в MSDT. После запуска MSDT (в поиске Windows ввести MSDT) и ввода ключа, полученного от специалиста, сервис будет активирован и начнёт сбор и анализ информации, чтобы найти решение проблемы пользователя.
Microsoft пояснила, что в новых версиях Windows 10/11 пользователи для получения поддержки будут перенаправлены на платформу Microsoft Get Help. Также пользователи могут сами выбрать вручную штатное средство устранения неполадок в настройках ОС («Пуск» -> «Настройки» -> «Система» -> «Устранение неполадок» -> «Другие средства устранения неполадок»).
Согласно графику Microsoft, процесс отключения и вывода из эксплуатации инструмента MSDT будет осуществляться поэтапно в течение следующих трёх лет:
Microsoft не раскрыла причину прекращения проекта диагностической утилиты MSDT. Профильные эксперты считают, что это было сделано из-за проблем с безопасностью сервиса, которые обнаружились летом 2022 года.
В апреле 2022 года хакеры научились с помощью уязвимости CVE-2022-30190 (Follina) удалённо выполнять произвольный код через Microsoft Office на корпоративных ПК с Windows 10/11 через использование штатного механизма работы MSDT. Злоумышленники некоторое время использовали эту уязвимость нулевого дня для проведения атак на пользователей.
ИБ-специалисты обнаружили факты применения злоумышленниками данной уязвимости и сообщили в Microsoft. Заражённый документ использует функцию удалённого шаблона Word для извлечения HTML-файла с удалённого сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell. Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищённый просмотр запускается, но, если изменить документ на формат RTF, защищённый просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.
Пример исполняемого кода при запуске специально зараженного документа.
Microsoft согласилась, что уязвимость действительно является критичной и опубликовала дополнительные рекомендации по безопасности клиентов офисного пакета. Microsoft рекомендует системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»). Против этой уязвимости производитель выпустил патч.
Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.
Microsoft советует в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости CVE-2022-30190, но не для всех версий MS Office.
MSDT – это сервис в Windows 11/10/8.1/7, который собирает информацию для отправки в службу технической поддержки Microsoft. При обращении к службе поддержки Microsoft специалист поддержки выдаёт ключ, который вводится в MSDT. После запуска MSDT (в поиске Windows ввести MSDT) и ввода ключа, полученного от специалиста, сервис будет активирован и начнёт сбор и анализ информации, чтобы найти решение проблемы пользователя.
Microsoft пояснила, что в новых версиях Windows 10/11 пользователи для получения поддержки будут перенаправлены на платформу Microsoft Get Help. Также пользователи могут сами выбрать вручную штатное средство устранения неполадок в настройках ОС («Пуск» -> «Настройки» -> «Система» -> «Устранение неполадок» -> «Другие средства устранения неполадок»).
Согласно графику Microsoft, процесс отключения и вывода из эксплуатации инструмента MSDT будет осуществляться поэтапно в течение следующих трёх лет:
- в 2023 году — начало перенаправления пользовательских запросов для устранения неполадок на новую платформу Get Help;
- в 2024 году – окончание перехода на Get Help, удаление кода MSDT из новых версий ОС Windows;
- в 2025 году – полное прекращение поддержки и отключение серверов платформы MSDT.
Microsoft не раскрыла причину прекращения проекта диагностической утилиты MSDT. Профильные эксперты считают, что это было сделано из-за проблем с безопасностью сервиса, которые обнаружились летом 2022 года.
В апреле 2022 года хакеры научились с помощью уязвимости CVE-2022-30190 (Follina) удалённо выполнять произвольный код через Microsoft Office на корпоративных ПК с Windows 10/11 через использование штатного механизма работы MSDT. Злоумышленники некоторое время использовали эту уязвимость нулевого дня для проведения атак на пользователей.
ИБ-специалисты обнаружили факты применения злоумышленниками данной уязвимости и сообщили в Microsoft. Заражённый документ использует функцию удалённого шаблона Word для извлечения HTML-файла с удалённого сервера, который использует URI схему ms-msdt MSProtocol для загрузки кода и выполнения скриптов PowerShell. Microsoft Word выполняет код через инструмент поддержки ms-msdt даже при отключённых макросах. Защищённый просмотр запускается, но, если изменить документ на формат RTF, защищённый просмотр включается даже без открытия документа, например, через вкладку предварительного просмотра в Проводнике.
Пример исполняемого кода при запуске специально зараженного документа.Microsoft согласилась, что уязвимость действительно является критичной и опубликовала дополнительные рекомендации по безопасности клиентов офисного пакета. Microsoft рекомендует системным администраторам отключить протокол MSDT URL с помощью команды «reg delete HKEY_CLASSES_ROOT\ms-msdt /f», предварительно сделав резервную копию этого ключа реестра («reg export HKEY_CLASSES_ROOT\ms-msdt filename»). Против этой уязвимости производитель выпустил патч.
Также для блокировки использования уязвимости можно включить в настройках Microsoft Defender правило для отражения направлений атаки BlockOfficeCreateProcessRule, которое запрещает приложениям Office создавать дочерние процессы.
Microsoft советует в офисных пакетах не отключать в настройках защиты опции по умолчанию Protected View и Application Guard, которые также предотвращают возможность использования уязвимости CVE-2022-30190, но не для всех версий MS Office.
