点击上方 订阅话题 第一时间了解漏洞威胁
0x01
漏洞状态
|
漏洞细节 |
漏洞POC |
漏洞EXP |
在野利用 |
|
公开 |
存在 |
未知 |
存在 |
0x02
漏洞描述
Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。
2022年5月30日,Microsoft发布安全公告,Microsoft Windows 支持诊断工具 (MSDT)中存在一个远程代码执行漏洞。漏洞编号:CVE-2022-30190,漏洞等级:高危,漏洞评分:8.8,并且,该漏洞存在在野利用。
Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞
|
Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞 |
|
|
漏洞编号 |
CVE-2022-30190 |
|
漏洞类型 |
远程代码执行 |
|
漏洞等级 |
高危 |
|
公开状态 |
未知 |
|
在野利用 |
未知 |
|
漏洞描述 |
攻击者可通过Office文件的远程模板功能从服务器中获取恶意HTML文件,并通过 'ms-msdt' URI来执行恶意PowerShell代码。该漏洞在宏被禁用的情况下仍能通过Microsoft Support Diagnostics Tool (MSDT)功能执行代码,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。 |
0x03
漏洞等级
|
风险级别 |
CVSS评分 |
|
高危 |
8.8 |
|
攻击方式 |
攻击复杂性 |
|
网络 |
低 |
|
所需权限 |
用户交互 |
|
无 |
需要 |
|
机密影响 |
完整性影响 |
|
高 |
无 |
|
可用性影响 |
范围影响 |
|
高 |
未更改 |
0x04
影响版本
Windows Server
2012 R2 (Server Core installation)
2012 R2
2012 (Server Core installation)
2012
2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
2008 R2 for x64-based Systems Service Pack 1
2008 for x64-based Systems Service Pack 2 (Server Core installation)
2008 for x64-based Systems Service Pack 2
2008 for 32-bit Systems Service Pack 2 (Server Core installation)
2008 for 32-bit Systems Service Pack 2
2016 (Server Core installation)
2016
20H2 (Server Core Installation)
2022 Azure Edition Core Hotpatch
2022 (Server Core installation)
2019 (Server Core installation)
2019
Windows RT 8.1
Windows 8.1
x64-based systems
32-bit systems
Windows 7
x64-based Systems Service Pack 1
32-bit Systems Service Pack 1
Windows 10
1607 for x64-based Systems
1607 for 32-bit Systems
x64-based Systems
32-bit Systems
21H2 for x64-based Systems
21H2 for ARM64-based Systems
21H2 for 32-bit Systems
20H2 for ARM64-based Systems
20H2 for 32-bit Systems
20H2 for x64-based Systems
21H1 for 32-bit Systems
21H1 for ARM64-based Systems
21H1 for x64-based Systems
1809 for ARM64-based Systems
1809 for x64-based Systems
1809 for 32-bit Systems
Windows 11
ARM64-based Systems
x64-based Systems
0x05
漏洞复现
2022年5月30日,360漏洞云安全专家已第一时间复现上述漏洞,演示如下:
完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。
0x06
修复建议
禁用 MSDT URL 协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:
1. 以管理员身份运行命令提示符 .
2. 要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOTms-msdt filename“
3. 执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”.
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x07
时间轴
2022-05-30
Microsoft发布安全公告,Microsoft Windows支持诊断工具 (MSDT)中存在一个远程代码执行漏洞。
2022-05-30
360漏洞云发布安全动态。
2022-05-31
360漏洞云团队已第一时间复现该漏洞。
0x08
产品侧解决方案
三六零云探安全监测系统,是一款面向党政军、金融、教育和互联网用户的综合型SaaS化网站应用安全监测服务产品,可有效监测网站的异常,发现企业网站的安全问题,目前已可以针对此漏洞进行安全监测。
三六零磐云安全防护系统,是集合网站配置、防护、加速、管理于一体的基于SaaS化安全防护产品,旨在解决用户网站安全问题,目前已可以针对此漏洞进行安全防护。
360AISA全流量威胁分析系统,是基于360海量安全大数据及丰富的攻防实战经验,利用AI、机器学习等技术研发的新一代威胁感知产品,能够精准发现攻击入侵行为、高级威胁活动,目前已可以针对此漏洞进行安全防护。
360本地安全大脑,是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑目前已可以针对此漏洞进行安全防护。
0x09
获取更多情报
建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
电话:010-52447660
网址:https://loudongyun.360.cn
- End -
原文始发于微信公众号(360漏洞云):漏洞复现 | Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论