【通告更新】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)
0x00 漏洞概述
0x01 漏洞详情
5月30日,微软发布安全公告,披露了 Microsoft MSDT中的任意代码执行漏洞(CVE-2022-30190),该漏洞的CVSS评分为7.8。目前该漏洞已经公开披露,且已检测到在野利用。
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。
从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在代码执行漏洞,成功利用该漏洞可以使用调用应用程序的权限运行任意代码,并在用户权限允许的范围内安装程序,查看、更改或删除数据,或创建新账户。漏洞复现如下:
该漏洞是从属于白俄罗斯的IP地址上传到 VirusTotal的恶意Word 文档中检测到的。恶意文件通过利用 Word 的远程模板功能从服务器获取 HTML 文件,然后使用“ms-msdt://”URI 执行 PowerShell 代码。即使禁用了宏,Microsoft Word 也会通过 msdt执行代码。此外,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标系统上执行任意代码。
影响范围
Windows Server 2012 R2 (ServerCore installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
0x02 安全建议
微软安全响应中心已经发布了此漏洞的指南,受影响用户可以选择禁用MSDT URL协议或应用非官方补丁:
禁用MSDT URL协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。但仍然可以使用其它方式访问故障排除程序。
1.以管理员身份运行命令提示符。
2.要备份注册表项,请执行命令“reg exportHKEY_CLASSES_ROOT\ms-msdt filename“。
3.执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
撤销:
1.以管理员身份运行命令提示符。
2.要恢复备份注册表项,请执行命令“reg import filename”。
此外,Microsoft Defender 防病毒软件使用检测版本1.367.719.0或更高版本为可能的漏洞利用提供检测和保护;Microsoft Defender for Endpoint 为客户提供检测和警报;Microsoft365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
Office 应用程序的可疑行为
Msdt.exe 的可疑行为
参考链接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
非官方补丁
0patch 微补丁服务主要用于在官方修复可用之前保护系统。0patch已经针对此漏洞为某些Windows版本发布了免费的微补丁,但该补丁不会完全禁用MSDT协议处理程序,而只是增加了对用户提供的路径的清理。注意,要下载此微补丁,需要注册0patch帐户并安装0patch agent。该微补丁适用于以下Windows版本:
Windows 11 v21H2
Windows 10 v21H2
Windows 10 v21H1
Windows 10 v20H2
Windows 10 v2004
Windows 10 v1909
Windows 10 v1903
Windows 10 v1809
Windows 10 v1803
Windows 7
Windows Server 2008 R2
下载链接:
https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html
其它建议
1.建议关闭Windows资源管理器中的预览窗格,以消除它作为预览恶意文件时可利用的攻击媒介。
2. 如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)规则,则可在Block模式下激活“阻止所有Office应用程序创建子进程”规则。若您还没有使用ASR规则,可先在Audit模式下运行规则,观察结果以确保不会对系统造成不利影响。
注意:研究人员将检测到在野利用的0 day漏洞标识为Microsoft Office 代码执行0 day漏洞(称为“Follina”),该漏洞影响了Office 2016 和 Office 2021等。本通告主要参考微软官方公告Microsoft Windows支持诊断工具 (MSDT) 任意代码执行漏洞。
0x03 参考链接
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
0x04 版本信息
来源:维他命安全
