【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)
发布时间 2022-05-310x00 漏洞概述
CVE ID | CVE-2022-30190 | 发现时间 | 2022-05-30 |
类 型 | 代码执行 | 等 级 | 高危 |
远程利用 | 影响范围 | ||
攻击复杂度 | 低 | 用户交互 | 是 |
PoC/EXP | 已公开 | 在野利用 | 是 |
0x01 漏洞详情
5月30日,微软发布安全公告,披露了 Microsoft MSDT中的任意代码执行漏洞(CVE-2022-30190),该漏洞的CVSS评分为7.8。目前该漏洞已经公开披露,且已检测到在野利用。
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。
从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在代码执行漏洞,成功利用该漏洞可以使用调用应用程序的权限运行任意代码,并在用户权限允许的范围内安装程序,查看、更改或删除数据,或创建新账户。漏洞复现如下:
该漏洞是从属于白俄罗斯的IP地址上传到 VirusTotal的恶意Word 文档中检测到的。恶意文件通过利用 Word 的远程模板功能从服务器获取 HTML 文件,然后使用“ms-msdt://”URI 执行 PowerShell 代码。即使禁用了宏,Microsoft Word 也会通过 msdt执行代码。此外,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标系统上执行任意代码。
影响范围
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
0x02 安全建议
微软安全响应中心已经发布了此漏洞的指南,受影响用户可以选择禁用MSDT URL协议或应用非官方补丁:
禁用MSDT URL协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。但仍然可以使用其它方式访问故障排除程序。
1.以管理员身份运行命令提示符。
2.要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename“。
3.执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
撤销:
1.以管理员身份运行命令提示符。
2.要恢复备份注册表项,请执行命令“reg import filename”。
此外,Microsoft Defender 防病毒软件使用检测版本1.367.719.0 或更高版本为可能的漏洞利用提供检测和保护;Microsoft Defender for Endpoint 为客户提供检测和警报;Microsoft 365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
l Office 应用程序的可疑行为
l Msdt.exe 的可疑行为
参考链接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
非官方补丁
0patch 微补丁服务主要用于在官方修复可用之前保护系统。0patch已经针对此漏洞为某些Windows版本发布了免费的微补丁,但该补丁不会完全禁用MSDT协议处理程序,而只是增加了对用户提供的路径的清理。注意,要下载此微补丁,需要注册0patch帐户并安装0patch agent。该微补丁适用于以下Windows版本:
Windows 11 v21H2
Windows 10 v21H2
Windows 10 v21H1
Windows 10 v20H2
Windows 10 v2004
Windows 10 v1909
Windows 10 v1903
Windows 10 v1809
Windows 10 v1803
Windows 7
Windows Server 2008 R2
下载链接:
https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html
其它建议
1.建议关闭Windows资源管理器中的预览窗格,以消除它作为预览恶意文件时可利用的攻击媒介。
2. 如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)规则,则可在Block模式下激活“阻止所有Office应用程序创建子进程”规则。若您还没有使用ASR规则,可先在Audit模式下运行规则,观察结果以确保不会对系统造成不利影响。
注意:研究人员将检测到在野利用的0 day漏洞标识为Microsoft Office 代码执行0 day漏洞(称为“Follina”),该漏洞影响了Office 2016 和 Office 2021等。本通告主要参考微软官方公告Microsoft Windows 支持诊断工具 (MSDT) 任意代码执行漏洞。
0x03 参考链接
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
0x04 版本信息
版本 | 日期 | 修改内容 |
V1.0 | 2022-05-31 | 首次发布 |
V2.0 | 2022-06-02 | 新增缓解措施等 |
0x05 附录
公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。
关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:
京公网安备11010802024551号