0x00 漏洞概述
|
CVE ID |
CVE-2022-30190 |
发现时间 |
2022-05-30 |
|
类 型 |
代码执行 |
等 级 |
高危 |
|
远程利用 |
否 |
影响范围 |
|
|
攻击复杂度 |
低 |
用户交互 |
是 |
|
PoC/EXP |
已公开 |
在野利用 |
是 |
0x01 漏洞详情
5月30日,微软发布安全公告,披露了 Microsoft MSDT中的任意代码执行漏洞(CVE-2022-30190),该漏洞的CVSS评分为7.8。目前该漏洞已经公开披露,且已检测到在野利用。
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。
从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在代码执行漏洞,成功利用该漏洞可以使用调用应用程序的权限运行任意代码,并在用户权限允许的范围内安装程序,查看、更改或删除数据,或创建新账户。
该漏洞是从属于白俄罗斯的IP地址上传到 VirusTotal的恶意Word 文档中检测到的。恶意文件通过利用 Word 的远程模板功能从服务器获取 HTML 文件,然后使用“ms-msdt://”URI 执行PowerShell 代码。即使禁用了宏,Microsoft Word 也会通过 msdt执行代码。此外,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标系统上执行任意代码。
去混淆的Payload(来源:互联网)
影响范围
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
0x02 安全建议
目前微软官方暂未发布此漏洞的补丁,但微软安全响应中心已经发布了此漏洞的指南,受影响用户可以应用以下临时缓解措施:
禁用MSDT URL协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:
1.以管理员身份运行命令提示符。
2.要备份注册表项,请执行命令“reg exportHKEY_CLASSES_ROOTms-msdt filename“。
3.执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。
撤销
1.以管理员身份运行命令提示符。
2.要恢复备份注册表项,请执行命令“reg import filename”。
此外,Microsoft Defender 防病毒软件使用检测版本1.367.719.0或更高版本为可能的漏洞利用提供检测和保护;Microsoft Defender for Endpoint 为客户提供检测和警报;Microsoft365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
-
Office 应用程序的可疑行为
-
Msdt.exe 的可疑行为
参考链接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
注意:研究人员将检测到在野利用的0 day漏洞标识为Microsoft Office 代码执行0 day漏洞(称为“Follina”),该漏洞影响了Office 2016 和 Office 2021等。本通告主要参考微软官方公告Microsoft Windows支持诊断工具 (MSDT) 任意代码执行漏洞。
0x03 参考链接
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
0x04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-05-31 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论