الثغرات ›

CVE-2022-34713

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability — A remote code execution vulnerability exists when Microsoft Windows MSDT is called using the URL protocol from a

                    نُشر: Aug 9, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2022-34713 is a critical remote code execution vulnerability in Microsoft Windows Support Diagnostic Tool (MSDT) with a CVSS score of 9.0. The vulnerability allows attackers to execute arbitrary code by invoking MSDT through URL protocol handlers, typically via malicious documents or phishing emails. This vulnerability has active exploits available and poses an immediate threat to all Windows-based systems across Saudi organizations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 23:52

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses critical risk to Saudi banking sector (SAMA-regulated institutions), government agencies (NCA, NCSC), healthcare providers, energy sector (ARAMCO, SEC), and telecommunications companies (STC, Mobily). The attack vector through phishing and malicious documents makes it particularly dangerous for organizations with high-value targets. Government entities and financial institutions are primary targets for nation-state and cybercriminal exploitation.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Defense and Security Education Critical Infrastructure

🎯 تقنيات MITRE ATT&CK

T1566.002 - Phishing: Spearphishing Link T1566.001 - Phishing: Spearphishing Attachment T1204.001 - User Execution: Malicious Link T1204.002 - User Execution: Malicious File T1059.001 - Command and Scripting Interpreter: PowerShell T1059.003 - Command and Scripting Interpreter: Windows Command Shell T1053.005 - Scheduled Task/Job: Scheduled Task T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

⚖️ درجة المخاطر السعودية (AI)

9.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Apply Microsoft security patch KB5014666 or later immediately to all Windows systems

2. Disable MSDT URL protocol handler if patching is delayed: Set registry key HKEY_CLASSES_ROOT\ms-msdt to empty or remove the URL protocol association

3. Block ms-msdt:// protocol at email gateway and web proxy level

4. Implement application whitelisting to prevent MSDT execution from suspicious processes



DETECTION:

- Monitor for ms-msdt:// URL invocations in process creation logs

- Alert on MSDT.exe spawning child processes (cmd.exe, powershell.exe)

- Search for suspicious .diagcab files or ms-msdt protocol handlers in recent files

- Monitor registry modifications to HKEY_CLASSES_ROOT\ms-msdt



COMPENSATING CONTROLS:

- Enforce strict email attachment policies (block .diagcab, .zip containing diagcab)

- Implement network segmentation to limit lateral movement

- Deploy EDR solutions with behavioral detection for MSDT abuse

- Conduct immediate phishing awareness training

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تطبيق تصحيح أمان Microsoft KB5014666 أو أحدث على جميع أنظمة Windows فوراً

2. تعطيل معالج بروتوكول MSDT URL إذا تأخر التصحيح: تعيين مفتاح السجل HKEY_CLASSES_ROOT\ms-msdt إلى فارغ أو إزالة ارتباط بروتوكول URL

3. حظر بروتوكول ms-msdt:// على مستوى بوابة البريد الإلكتروني والوكيل

4. تطبيق قائمة التطبيقات المسموحة لمنع تنفيذ MSDT من العمليات المريبة



الكشف:

- مراقبة استدعاءات عنوان URL ms-msdt:// في سجلات إنشاء العمليات

- تنبيهات عند قيام MSDT.exe بإنشاء عمليات فرعية (cmd.exe, powershell.exe)

- البحث عن ملفات .diagcab المريبة أو معالجات بروتوكول ms-msdt في الملفات الحديثة

- مراقبة تعديلات السجل على HKEY_CLASSES_ROOT\ms-msdt



الضوابط البديلة:

- فرض سياسات صارمة لمرفقات البريد الإلكتروني (حظر .diagcab و .zip التي تحتوي على diagcab)

- تطبيق تقسيم الشبكة لتحديد الحركة الجانبية

- نشر حلول EDR مع الكشف السلوكي لإساءة استخدام MSDT

- إجراء تدريب فوري على الوعي بالتصيد الاحتيالي

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Information Security Policies ECC 2024 A.8.1.1 - User Endpoint Devices ECC 2024 A.12.2.1 - Change Management ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities

🔵 SAMA CSF

ID.RA-1 - Asset Management PR.IP-12 - Software, Firmware, and Information Integrity Processes DE.CM-8 - Vulnerability Scans RS.MI-2 - Incidents are mitigated

🟡 ISO 27001:2022

A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.12.2.1 - Change management procedures A.12.3.1 - Segregation of development, test and production environments

🟣 PCI DSS v4.0

Requirement 6.2 - Security patches and updates Requirement 11.2 - Vulnerability scanning

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Windows

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS4.49%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-08-30

تاريخ النشر 2022-08-09

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.5

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2022-34713

عرّفنا بنفسك

تسجيل الدخول مطلوب