安全通告
经测试,在Windows保持最新版本的情况下,Office 2013/2016受影响,并且不支持自动更新,2022/05/10的补丁对该漏洞未做修补。Office 2019/2021在账户的自动更新处,更新到最新大版本2205后不受影响,该版本在2022/05/22后更新。
鉴于Office各版本及补丁众多,更新覆盖面不够广泛,建议用户使用处置建议中的缓解措施对注册表进行修改。
目前,奇安信CERT已监测到此漏洞的在野利用、PoC、EXP及利用细节,鉴于该漏洞目前处于在野利用状态,建议用户尽快采取缓解措施避免受此漏洞影响。
本次更新内容:
|
|
||
|
|
|
|
|
|
|
|
|
代码执行 |
|
|
|
|
|
|
|
|||
|
|
||
|
|
||
|
|||
|
|
|
|
|
|
|
|
漏洞描述 |
Word等应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以通过MSDT运行任意POWERSHELL代码。攻击者可以执行POWERSHELL代码安装程序、查看、更改或删除数据。 |
||
影响版本 |
Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for 32-bit Systems Service Pack 2 Windows RT 8.1 Windows 8.1 for x64-based systems Windows 8.1 for 32-bit systems Windows 7 for x64-based Systems Service Pack 1 Windows 7 for 32-bit Systems Service Pack 1 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 for 32-bit Systems Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows 11 for ARM64-based Systems Windows 11 for x64-based Systems Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows Server 2022 Azure Edition Core Hotpatch Windows Server 2022 (Server Core installation) Windows Server 2022 Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems |
||
不受影响版本 |
暂无 |
||
其他受影响组件 |
暂无 |
奇安信红雨滴团队已成功复现Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞,复现截图如下:
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
|
|||
|
攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件,通过 'ms-msdt' URI来执行任意代码,该漏洞在宏被禁用的情况下,仍能通过MSDT(Microsoft Support Diagnostics Tool)功能(用于排除故障并收集诊断数据以供专业人员分析解决问题)执行代码,在资源管理器中的预览功能打开的情况下,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可触发漏洞在目标机器上执行powershell代码。 |
一、用户可通过执行以下缓解方案避免受该漏洞影响:
二、Office 2019/2021的用户可升级至最新版本
鉴于Office各版本及补丁众多,更新覆盖面不够广泛,建议用户使用处置建议第一条中的缓解措施对注册表进行修改。
[1]https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
[2]https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
[4]https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
2022年5月31日,奇安信CERT发布安全风险通告;
2022年6月1日,奇安信CERT发布安全风险通告第二次更新。
原文始发于微信公众号(奇安信 CERT):Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论