警惕!Windows 高危漏洞曝出在野利用,亟需自查!

admin 2022年6月1日10:07:39评论76 views字数 3038阅读10分7秒阅读模式
警惕!Windows 高危漏洞曝出在野利用,亟需自查!

01 漏洞概况 

近日,微步情报局捕获 MSDT 远程代码执行漏洞情报以及在野利用样本,该漏洞可以导致远程代码执行,攻击者可以利用该漏洞直接获取目标系统权限。

该漏洞位于 MSDT(Microsoft 支持诊断工具/ Microsoft Windows Support Diagnostic Tool)组件中,该组件用于 Microsoft 支持人员分析解决计算机上可能遇到的问题。

在野利用样本中,攻击者试图使用特殊的 Office 远程 OLE 对象自动加载包含漏洞利用的 HTML 文件,并在其中利用 URL Scheme 机制加载了 MSDT 组件中的远程代码执行漏洞。

据悉,国外安全研究人员已于2022年4月发现 MSDT 组件远程代码执行漏洞的在野利用样本,而微软认为这不是一个安全漏洞,因此未进行修复。美国时间5月30日,Microsoft 发布漏洞通告,并提供了临时缓解措施。

该漏洞的在野利用样本无法在最新版本的 Office 中触发,因为其中利用的特殊的 Office 远程 OLE 对象自动加载方式已经被作为非安全问题修复(没有CVE编号)。但是攻击者依然可以使用 rtf 格式样本来实现自动触发漏洞,因此依然需要保持警惕。

漏洞复现:

Win10 + Office2007:打开在野样本后自动触发漏洞:

警惕!Windows 高危漏洞曝出在野利用,亟需自查!

Win10 + Office 365 最新版本:在野样本无法触发漏洞,rtf 格式样本可以自动触发:

警惕!Windows 高危漏洞曝出在野利用,亟需自查!

此次受影响版本如下:

  • Windows Server 2012 R2 (Server Core installation)

  • Windows Server 2012 R2

  • Windows Server 2012 (Server Core installation)

  • Windows Server 2012

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows RT 8.1

  • Windows 8.1 for x64-based systems

  • Windows 8.1 for 32-bit systems

  • Windows 7 for x64-based Systems Service Pack 1

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows Server 2016 (Server Core installation)

  • Windows Server 2016

  • Windows 10 Version 1607 for x64-based Systems

  • Windows 10 Version 1607 for 32-bit Systems

  • Windows 10 for x64-based Systems

  • Windows 10 for 32-bit Systems

  • Windows 10 Version 21H2 for x64-based Systems

  • Windows 10 Version 21H2 for ARM64-based Systems

  • Windows 10 Version 21H2 for 32-bit Systems

  • Windows 11 for ARM64-based Systems

  • Windows 11 for x64-based Systems

  • Windows Server, version 20H2 (Server Core Installation)

  • Windows 10 Version 20H2 for ARM64-based Systems

  • Windows 10 Version 20H2 for 32-bit Systems

  • Windows 10 Version 20H2 for x64-based Systems

  • Windows Server 2022 Azure Edition Core Hotpatch

  • Windows Server 2022 (Server Core installation)

  • Windows Server 2022

  • Windows 10 Version 21H1 for 32-bit Systems

  • Windows 10 Version 21H1 for ARM64-based Systems

  • Windows 10 Version 21H1 for x64-based Systems

  • Windows Server 2019 (Server Core installation)

  • Windows Server 2019

  • Windows 10 Version 1809 for ARM64-based Systems

  • Windows 10 Version 1809 for x64-based Systems

  • Windows 10 Version 1809 for 32-bit Systems

02 漏洞评估 


公开程度:已发现在野利用

利用条件:需要打开或点击特定文件
交互要求:1 Click
漏洞危害:高危、任意代码执行

03 修复方案


微软已发布漏洞临时缓解措施,微步建议您采用以下方案保障安全:

1. 删除 ms-msdt Url Scheme 对应的注册表项,或将其修改为其他名称(如ms-msdt-vuln),注册表项位置:HKEY_CLASSES_ROOTms-msdt

注意:在手动操作注册表之前备份原始值。

2. 删除 msdt.exe,或将其修改为其他名称(如msdt-vuln.exe)、移动到其他位置,文件位置:C:WindowsSysWOW64msdt.exe或 C:WindowsSystem32msdt.exe

注意:在删除系统文件之前备份原始文件。

3. 使用 MicrosoftDefender 的攻击面减少(ASR)规则,阻止所有 Office 应用创建子进程。

注意:如果之前没有应用过该规则,在正式应用之前做测试。

4. 预览窗格可能被作为攻击媒介,建议关闭预览窗格,或使用CVE-2021-40444官方解决方案中的内容禁用对应文件的预览功能。

5. 使用组策略禁用 MSDT。

6. 修改注册表项:

HKLMSOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics- EnableDiagnostics – 0

7. 官方公告链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

8. 官方临时缓解措施:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

04 时间线 


2022.5.30 微步情报局捕获该漏洞相关情报

2022.5.31 微步在线威胁感知平台 TDP 已支持检测

2022.5.31 微步情报局发布漏洞通告

警惕!Windows 高危漏洞曝出在野利用,亟需自查!

点击下方名片,关注我们

第一时间为您推送最新威胁情报

原文始发于微信公众号(微步在线研究响应中心):警惕!Windows 高危漏洞曝出在野利用,亟需自查!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日10:07:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕!Windows 高危漏洞曝出在野利用,亟需自查!http://cn-sec.com/archives/1073578.html

发表评论

匿名网友 填写信息