01 漏洞概况
该漏洞位于 MSDT(Microsoft 支持诊断工具/ Microsoft Windows Support Diagnostic Tool)组件中,该组件用于 Microsoft 支持人员分析解决计算机上可能遇到的问题。
在野利用样本中,攻击者试图使用特殊的 Office 远程 OLE 对象自动加载包含漏洞利用的 HTML 文件,并在其中利用 URL Scheme 机制加载了 MSDT 组件中的远程代码执行漏洞。
据悉,国外安全研究人员已于2022年4月发现 MSDT 组件远程代码执行漏洞的在野利用样本,而微软认为这不是一个安全漏洞,因此未进行修复。美国时间5月30日,Microsoft 发布漏洞通告,并提供了临时缓解措施。
该漏洞的在野利用样本无法在最新版本的 Office 中触发,因为其中利用的特殊的 Office 远程 OLE 对象自动加载方式已经被作为非安全问题修复(没有CVE编号)。但是攻击者依然可以使用 rtf 格式样本来实现自动触发漏洞,因此依然需要保持警惕。
漏洞复现:
此次受影响版本如下:
-
Windows Server 2012 R2 (Server Core installation)
-
Windows Server 2012 R2
-
Windows Server 2012 (Server Core installation)
-
Windows Server 2012
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1
-
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
-
Windows Server 2008 for x64-based Systems Service Pack 2
-
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
-
Windows Server 2008 for 32-bit Systems Service Pack 2
-
Windows RT 8.1
-
Windows 8.1 for x64-based systems
-
Windows 8.1 for 32-bit systems
-
Windows 7 for x64-based Systems Service Pack 1
-
Windows 7 for 32-bit Systems Service Pack 1
-
Windows Server 2016 (Server Core installation)
-
Windows Server 2016
-
Windows 10 Version 1607 for x64-based Systems
-
Windows 10 Version 1607 for 32-bit Systems
-
Windows 10 for x64-based Systems
-
Windows 10 for 32-bit Systems
-
Windows 10 Version 21H2 for x64-based Systems
-
Windows 10 Version 21H2 for ARM64-based Systems
-
Windows 10 Version 21H2 for 32-bit Systems
-
Windows 11 for ARM64-based Systems
-
Windows 11 for x64-based Systems
-
Windows Server, version 20H2 (Server Core Installation)
-
Windows 10 Version 20H2 for ARM64-based Systems
-
Windows 10 Version 20H2 for 32-bit Systems
-
Windows 10 Version 20H2 for x64-based Systems
-
Windows Server 2022 Azure Edition Core Hotpatch
-
Windows Server 2022 (Server Core installation)
-
Windows Server 2022
-
Windows 10 Version 21H1 for 32-bit Systems
-
Windows 10 Version 21H1 for ARM64-based Systems
-
Windows 10 Version 21H1 for x64-based Systems
-
Windows Server 2019 (Server Core installation)
-
Windows Server 2019
-
Windows 10 Version 1809 for ARM64-based Systems
-
Windows 10 Version 1809 for x64-based Systems
-
Windows 10 Version 1809 for 32-bit Systems
02 漏洞评估
03 修复方案
微软已发布漏洞临时缓解措施,微步建议您采用以下方案保障安全:
1. 删除 ms-msdt Url Scheme 对应的注册表项,或将其修改为其他名称(如ms-msdt-vuln),注册表项位置:HKEY_CLASSES_ROOTms-msdt
注意:在手动操作注册表之前备份原始值。
2. 删除 msdt.exe,或将其修改为其他名称(如msdt-vuln.exe)、移动到其他位置,文件位置:C:WindowsSysWOW64msdt.exe或 C:WindowsSystem32msdt.exe
注意:在删除系统文件之前备份原始文件。
3. 使用 MicrosoftDefender 的攻击面减少(ASR)规则,阻止所有 Office 应用创建子进程。
注意:如果之前没有应用过该规则,在正式应用之前做测试。
4. 预览窗格可能被作为攻击媒介,建议关闭预览窗格,或使用CVE-2021-40444官方解决方案中的内容禁用对应文件的预览功能。
5. 使用组策略禁用 MSDT。
6. 修改注册表项:
HKLMSOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics- EnableDiagnostics – 0
7. 官方公告链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190
8. 官方临时缓解措施:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
04 时间线
2022.5.30 微步情报局捕获该漏洞相关情报
2022.5.31 微步在线威胁感知平台 TDP 已支持检测
2022.5.31 微步情报局发布漏洞通告
04 时间线
2022.5.30 微步情报局捕获该漏洞相关情报
2022.5.31 微步在线威胁感知平台 TDP 已支持检测
2022.5.31 微步情报局发布漏洞通告
04 时间线
2022.5.30 微步情报局捕获该漏洞相关情报
2022.5.31 微步在线威胁感知平台 TDP 已支持检测
2022.5.31 微步情报局发布漏洞通告
第一时间为您推送最新威胁情报
原文始发于微信公众号(微步在线研究响应中心):警惕!Windows 高危漏洞曝出在野利用,亟需自查!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论