【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

admin 2022年5月31日12:29:28安全漏洞评论526 views3690字阅读12分18秒阅读模式

0x00 漏洞概述

CVE   ID

CVE-2022-30190

发现时间

2022-05-30

类      型

代码执行

等      级

高危

远程利用

影响范围


攻击复杂度

用户交互

PoC/EXP

已公开

在野利用

 

0x01 漏洞详情

5月30日,微软发布安全公告,披露了 Microsoft MSDT中的任意代码执行漏洞(CVE-2022-30190),该漏洞的CVSS评分为7.8。目前该漏洞已经公开披露,且已检测到在野利用。

MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。

从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在代码执行漏洞,成功利用该漏洞可以使用调用应用程序的权限运行任意代码,并在用户权限允许的范围内安装程序,查看、更改或删除数据,或创建新账户。

该漏洞是从属于白俄罗斯的IP地址上传到 VirusTotal的恶意Word 文档中检测到的。恶意文件通过利用 Word 的远程模板功能从服务器获取 HTML 文件,然后使用“ms-msdt://”URI 执行PowerShell 代码。即使禁用了宏,Microsoft Word 也会通过 msdt执行代码。此外,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标系统上执行任意代码。

【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

去混淆的Payload(来源:互联网)

 

影响范围

 Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

 

0x02 安全建议

目前微软官方暂未发布此漏洞的补丁,但微软安全响应中心已经发布了此漏洞的指南,受影响用户可以应用以下临时缓解措施:

禁用MSDT URL协议

禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:

1.以管理员身份运行命令提示符。

2.要备份注册表项,请执行命令“reg exportHKEY_CLASSES_ROOTms-msdt filename“。

3.执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。

撤销

1.以管理员身份运行命令提示符。

2.要恢复备份注册表项,请执行命令“reg import filename”。

此外,Microsoft Defender 防病毒软件使用检测版本1.367.719.0或更高版本为可能的漏洞利用提供检测和保护;Microsoft Defender for Endpoint 为客户提供检测和警报;Microsoft365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:

  • Office 应用程序的可疑行为

  • Msdt.exe 的可疑行为

参考链接:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

注意:研究人员将检测到在野利用的0 day漏洞标识为Microsoft Office 代码执行0 day漏洞(称为“Follina”),该漏洞影响了Office 2016 和 Office 2021等。本通告主要参考微软官方公告Microsoft Windows支持诊断工具 (MSDT) 任意代码执行漏洞。

 

0x03 参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

 

0x04 版本信息

版本

日期

修改内容

V1.0

2022-05-31

首次发布

 

0x05 附录

公司简介
启明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是国内极具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。
公司总部位于北京市中关村软件园,在全国各省、市、自治区设有分支机构,拥有覆盖全国的渠道体系和技术支持中心,并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。
多年来,启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们
启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。
关注以下公众号,获取全球最新安全资讯:

【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

 



原文始发于微信公众号(维他命安全):【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月31日12:29:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】Microsoft MSDT任意代码执行漏洞(CVE-2022-30190) https://cn-sec.com/archives/1071768.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: