&

您所在的位置：首頁 > 安全研究 > 安全通告 > Microsoft MSDT任意代碼執(zhí)行漏洞

Microsoft MSDT任意代碼執(zhí)行漏洞

【通告更新】Microsoft MSDT任意代碼執(zhí)行漏洞(CVE-2022-30190)

0x00 漏洞概述

金瀚信安：Microsoft MSDT任意代碼執(zhí)行漏洞1

0x01 漏洞詳情

5月30日，微軟發(fā)布安全公告，披露了 Microsoft MSDT中的任意代碼執(zhí)行漏洞(CVE-2022-30190)，該漏洞的CVSS評分為7.8。目前該漏洞已經(jīng)公開披露，且已檢測到在野利用。

MSDT(Microsoft Support Diagnostics Tool，微軟支持診斷工具)是一種實用程序，用于排除故障并收集診斷數(shù)據(jù)以供專業(yè)人員分析和解決問題。

從 Word 等調(diào)用應用程序使用 URL 協(xié)議調(diào)用 MSDT 時存在代碼執(zhí)行漏洞，成功利用該漏洞可以使用調(diào)用應用程序的權(quán)限運行任意代碼，并在用戶權(quán)限允許的范圍內(nèi)安裝程序，查看、更改或刪除數(shù)據(jù)，或創(chuàng)建新賬戶。漏洞復現(xiàn)如下：

金瀚信安：Microsoft MSDT任意代碼執(zhí)行漏洞2

該漏洞是從屬于白俄羅斯的IP地址上傳到 VirusTotal的惡意Word 文檔中檢測到的。惡意文件通過利用 Word 的遠程模板功能從服務器獲取 HTML 文件，然后使用“ms-msdt://”URI 執(zhí)行 PowerShell 代碼。即使禁用了宏，Microsoft Word 也會通過 msdt執(zhí)行代碼。此外，當惡意文件保存為RTF格式時，甚至無需打開文件，通過資源管理器中的預覽選項卡即可在目標系統(tǒng)上執(zhí)行任意代碼。

影響范圍

Windows Server 2012 R2 (ServerCore installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

0x02 安全建議

微軟安全響應中心已經(jīng)發(fā)布了此漏洞的指南，受影響用戶可以選擇禁用MSDT URL協(xié)議或應用非官方補?。?/span>

禁用MSDT URL協(xié)議

禁用 MSDT URL 協(xié)議可防止故障排除程序作為鏈接啟動，包括整個操作系統(tǒng)的鏈接。但仍然可以使用其它方式訪問故障排除程序。

1.以管理員身份運行命令提示符。

2.要備份注冊表項，請執(zhí)行命令“reg exportHKEY_CLASSES_ROOT\ms-msdt filename“。

3.執(zhí)行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

撤銷：

1.以管理員身份運行命令提示符。

2.要恢復備份注冊表項，請執(zhí)行命令“reg import filename”。

此外，Microsoft Defender 防病毒軟件使用檢測版本1.367.719.0或更高版本為可能的漏洞利用提供檢測和保護;Microsoft Defender for Endpoint 為客戶提供檢測和警報;Microsoft365 Defender 門戶中的以下警報標題可以指示網(wǎng)絡上的威脅活動：

Office 應用程序的可疑行為

Msdt.exe 的可疑行為

參考鏈接：

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

非官方補丁

0patch 微補丁服務主要用于在官方修復可用之前保護系統(tǒng)。0patch已經(jīng)針對此漏洞為某些Windows版本發(fā)布了免費的微補丁，但該補丁不會完全禁用MSDT協(xié)議處理程序，而只是增加了對用戶提供的路徑的清理。注意，要下載此微補丁，需要注冊0patch帳戶并安裝0patch agent。該微補丁適用于以下Windows版本：

Windows 11 v21H2

Windows 10 v21H2

Windows 10 v21H1

Windows 10 v20H2

Windows 10 v2004

Windows 10 v1909

Windows 10 v1903

Windows 10 v1809

Windows 10 v1803

Windows 7

Windows Server 2008 R2

下載鏈接：

https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html

其它建議

1.建議關(guān)閉Windows資源管理器中的預覽窗格，以消除它作為預覽惡意文件時可利用的攻擊媒介。

2. 如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)規(guī)則，則可在Block模式下激活“阻止所有Office應用程序創(chuàng)建子進程”規(guī)則。若您還沒有使用ASR規(guī)則，可先在Audit模式下運行規(guī)則，觀察結(jié)果以確保不會對系統(tǒng)造成不利影響。

注意：研究人員將檢測到在野利用的0 day漏洞標識為Microsoft Office 代碼執(zhí)行0 day漏洞(稱為“Follina”)，該漏洞影響了Office 2016 和 Office 2021等。本通告主要參考微軟官方公告Microsoft Windows支持診斷工具 (MSDT) 任意代碼執(zhí)行漏洞。

0x03 參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

0x04 版本信息

金瀚信安：Microsoft MSDT任意代碼執(zhí)行漏洞3

來源：維他命安全

久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

您所在的位置： 首頁 > 安全研究 > 安全通告 > Microsoft MSDT任意代碼執(zhí)行漏洞

您所在的位置：首頁 > 安全研究 > 安全通告 > Microsoft MSDT任意代碼執(zhí)行漏洞