您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
Microsoft MSDT任意代碼執(zhí)行漏洞
【通告更新】Microsoft MSDT任意代碼執(zhí)行漏洞(CVE-2022-30190)
0x00 漏洞概述
0x01 漏洞詳情
5月30日,微軟發(fā)布安全公告,披露了 Microsoft MSDT中的任意代碼執(zhí)行漏洞(CVE-2022-30190),該漏洞的CVSS評(píng)分為7.8。目前該漏洞已經(jīng)公開披露,且已檢測(cè)到在野利用。
MSDT(Microsoft Support Diagnostics Tool,微軟支持診斷工具)是一種實(shí)用程序,用于排除故障并收集診斷數(shù)據(jù)以供專業(yè)人員分析和解決問題。
從 Word 等調(diào)用應(yīng)用程序使用 URL 協(xié)議調(diào)用 MSDT 時(shí)存在代碼執(zhí)行漏洞,成功利用該漏洞可以使用調(diào)用應(yīng)用程序的權(quán)限運(yùn)行任意代碼,并在用戶權(quán)限允許的范圍內(nèi)安裝程序,查看、更改或刪除數(shù)據(jù),或創(chuàng)建新賬戶。漏洞復(fù)現(xiàn)如下:
該漏洞是從屬于白俄羅斯的IP地址上傳到 VirusTotal的惡意Word 文檔中檢測(cè)到的。惡意文件通過(guò)利用 Word 的遠(yuǎn)程模板功能從服務(wù)器獲取 HTML 文件,然后使用“ms-msdt://”URI 執(zhí)行 PowerShell 代碼。即使禁用了宏,Microsoft Word 也會(huì)通過(guò) msdt執(zhí)行代碼。此外,當(dāng)惡意文件保存為RTF格式時(shí),甚至無(wú)需打開文件,通過(guò)資源管理器中的預(yù)覽選項(xiàng)卡即可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
影響范圍
Windows Server 2012 R2 (ServerCore installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
0x02 安全建議
微軟安全響應(yīng)中心已經(jīng)發(fā)布了此漏洞的指南,受影響用戶可以選擇禁用MSDT URL協(xié)議或應(yīng)用非官方補(bǔ)?。?/span>
禁用MSDT URL協(xié)議
禁用 MSDT URL 協(xié)議可防止故障排除程序作為鏈接啟動(dòng),包括整個(gè)操作系統(tǒng)的鏈接。但仍然可以使用其它方式訪問故障排除程序。
1.以管理員身份運(yùn)行命令提示符。
2.要備份注冊(cè)表項(xiàng),請(qǐng)執(zhí)行命令“reg exportHKEY_CLASSES_ROOT\ms-msdt filename“。
3.執(zhí)行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
撤銷:
1.以管理員身份運(yùn)行命令提示符。
2.要恢復(fù)備份注冊(cè)表項(xiàng),請(qǐng)執(zhí)行命令“reg import filename”。
此外,Microsoft Defender 防病毒軟件使用檢測(cè)版本1.367.719.0或更高版本為可能的漏洞利用提供檢測(cè)和保護(hù);Microsoft Defender for Endpoint 為客戶提供檢測(cè)和警報(bào);Microsoft365 Defender 門戶中的以下警報(bào)標(biāo)題可以指示網(wǎng)絡(luò)上的威脅活動(dòng):
Office 應(yīng)用程序的可疑行為
Msdt.exe 的可疑行為
參考鏈接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
非官方補(bǔ)丁
0patch 微補(bǔ)丁服務(wù)主要用于在官方修復(fù)可用之前保護(hù)系統(tǒng)。0patch已經(jīng)針對(duì)此漏洞為某些Windows版本發(fā)布了免費(fèi)的微補(bǔ)丁,但該補(bǔ)丁不會(huì)完全禁用MSDT協(xié)議處理程序,而只是增加了對(duì)用戶提供的路徑的清理。注意,要下載此微補(bǔ)丁,需要注冊(cè)0patch帳戶并安裝0patch agent。該微補(bǔ)丁適用于以下Windows版本:
Windows 11 v21H2
Windows 10 v21H2
Windows 10 v21H1
Windows 10 v20H2
Windows 10 v2004
Windows 10 v1909
Windows 10 v1903
Windows 10 v1809
Windows 10 v1803
Windows 7
Windows Server 2008 R2
下載鏈接:
https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html
其它建議
1.建議關(guān)閉Windows資源管理器中的預(yù)覽窗格,以消除它作為預(yù)覽惡意文件時(shí)可利用的攻擊媒介。
2. 如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)規(guī)則,則可在Block模式下激活“阻止所有Office應(yīng)用程序創(chuàng)建子進(jìn)程”規(guī)則。若您還沒有使用ASR規(guī)則,可先在Audit模式下運(yùn)行規(guī)則,觀察結(jié)果以確保不會(huì)對(duì)系統(tǒng)造成不利影響。
注意:研究人員將檢測(cè)到在野利用的0 day漏洞標(biāo)識(shí)為Microsoft Office 代碼執(zhí)行0 day漏洞(稱為“Follina”),該漏洞影響了Office 2016 和 Office 2021等。本通告主要參考微軟官方公告Microsoft Windows支持診斷工具 (MSDT) 任意代碼執(zhí)行漏洞。
0x03 參考鏈接
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
0x04 版本信息
來(lái)源:維他命安全