漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

admin 2022年6月1日10:12:28安全文章评论36 views2990字阅读9分58秒阅读模式
                    

点击上方 订阅话题 第一时间了解漏洞威胁

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

0x01

漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

公开

存在

未知

存在


0x02

漏洞描述

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

2022年5月30日,Microsoft发布安全公告,Microsoft Windows 支持诊断工具 (MSDT)中存在一个远程代码执行漏洞。漏洞编号:CVE-2022-30190,漏洞等级:高危,漏洞评分:8.8,并且,该漏洞存在在野利用。


Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

漏洞编号

CVE-2022-30190

漏洞类型

远程代码执行

漏洞等级

高危

公开状态

未知

在野利用

未知

漏洞描述

攻击者可通过Office文件的远程模板功能从服务器中获取恶意HTML文件,并通过 'ms-msdt' URI来执行恶意PowerShell代码。该漏洞在宏被禁用的情况下仍能通过Microsoft Support Diagnostics Tool (MSDT)功能执行代码,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。


0x03

漏洞等级

风险级别

CVSS评分

高危

8.8

攻击方式

攻击复杂性

网络

所需权限

用户交互

需要

机密影响

完整性影响

可用性影响

范围影响

未更改


0x04

影响版本

Windows Server 

    2012 R2 (Server Core installation)
    2012 R2
    2012 (Server Core installation)
    2012
    2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
    2008 R2 for x64-based Systems Service Pack 1
    2008 for x64-based Systems Service Pack 2 (Server Core installation)
    2008 for x64-based Systems Service Pack 2
    2008 for 32-bit Systems Service Pack 2 (Server Core installation)
    2008 for 32-bit Systems Service Pack 2

    2016 (Server Core installation)

    2016

    20H2 (Server Core Installation)

    2022 Azure Edition Core Hotpatch

    2022 (Server Core installation)

    2019 (Server Core installation)

    2019

Windows RT 8.1
Windows 8.1 

    x64-based systems
    32-bit systems

Windows 7 

    x64-based Systems Service Pack 1
    32-bit Systems Service Pack 1

Windows 10

    1607 for x64-based Systems
    1607 for 32-bit Systems
    x64-based Systems
    32-bit Systems
    21H2 for x64-based Systems
    21H2 for ARM64-based Systems
    21H2 for 32-bit Systems

    20H2 for ARM64-based Systems
    20H2 for 32-bit Systems
    20H2 for x64-based Systems
    21H1 for 32-bit Systems
    21H1 for ARM64-based Systems
    21H1 for x64-based Systems
    1809 for ARM64-based Systems
    1809 for x64-based Systems
    1809 for 32-bit Systems

Windows 11

    ARM64-based Systems
    x64-based Systems

0x05

漏洞复现

2022年5月30日,360漏洞云安全专家已第一时间复现上述漏洞,演示如下:

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞


完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。


0x06

修复建议

禁用 MSDT URL 协议

禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:

1. 以管理员身份运行命令提示符  .

2. 要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOTms-msdt filename“

3. 执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”.


与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。


0x07

时间轴

2022-05-30

Microsoft发布安全公告,Microsoft Windows支持诊断工具 (MSDT)中存在一个远程代码执行漏洞。

2022-05-30

360漏洞云发布安全动态。

2022-05-31

360漏洞云团队已第一时间复现该漏洞。


0x08

产品侧解决方案

三六零云探安全监测系统,是一款面向党政军、金融、教育和互联网用户的综合型SaaS化网站应用安全监测服务产品,可有效监测网站的异常,发现企业网站的安全问题,目前已可以针对此漏洞进行安全监测。


三六零磐云安全防护系统,是集合网站配置、防护、加速、管理于一体的基于SaaS化安全防护产品,旨在解决用户网站安全问题,目前已可以针对此漏洞进行安全防护。


360AISA全流量威胁分析系统,是基于360海量安全大数据及丰富的攻防实战经验,利用AI、机器学习等技术研发的新一代威胁感知产品,能够精准发现攻击入侵行为、高级威胁活动,目前已可以针对此漏洞进行安全防护。


360本地安全大脑,是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑目前已可以针对此漏洞进行安全防护。


0x09

获取更多情报

建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
电话:010-52447660

邮箱:[email protected]

网址:https://loudongyun.360.cn

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

- End -


360漏洞云介绍
360安全大脑漏洞云以技术为驱动,以安全专家为核心,围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务,帮助客户防患于未然,在降低资产风险的同时,大幅提升客户对漏洞感知、预警、分析等响应能力,为国家、政企客户、用户抢占风险预警处置先机,提升网络安全主动防护能力。

原文始发于微信公众号(360漏洞云):漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日10:12:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞 http://cn-sec.com/archives/1072054.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: