企业安全公司 Proofpoint 的安全研究人员透露:“Proofpoint 阻止了一项针对少于 10 个 Proofpoint 客户(欧洲政府和美国当地政府)的可疑国家网络钓鱼活动,该客户试图利用 Follina/CVE_2022_30190。”
攻击者使用加薪承诺诱使员工打开诱饵文件,该文件将部署一个 Powershell 脚本作为最终有效负载。
这用于检查系统是否为虚拟机,从多个 Web 浏览器、邮件客户端和文件服务中窃取信息,并收集泄露到攻击者控制的服务器的系统信息。
正如 BleepingComputer 在检查此攻击的最终 PowerShell 有效负载时发现的那样,威胁参与者正在收集大量信息,揭示此活动的侦察攻击性质,因为收集的数据可用于初始访问:
浏览器密码:Google Chrome、Mozilla Firefox、Microsoft Edge、Opera、Yandex、Vivaldi、CentBrowser、Comodo、CheDot、Orbitum、Chromium、Slimjet、Xvast、Kinza、Iridium、CocCoc 和 AVAST 浏览器。
来自其他应用程序的数据:Mozilla Thunderbird、Netsarang 会话文件、Windows Live Mail 联系人、Filezilla 密码、ToDesk 配置文件、微信、Oray SunLogin RemoteClient、MailMaster、ServU、Putty、FTP123、WinSCP、RAdmin、Microsoft Office、Navicat
Windows 信息:计算机信息、用户名列表、Windows 域信息
安全研究人员表示: “虽然 Proofpoint 基于 Powershell 的广泛侦察和目标集中度,怀疑这次活动是由与国家一致的行动者发起的,但我们目前并未将其归因于编号的 TA 。”
这些攻击中利用的安全漏洞被跟踪为 CVE-2022-30190 ,Redmond 将其描述为 Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞。
CVE-2022-30190 仍未修补,它会影响仍在接收安全更新的所有 Windows 版本(即 Windows 7+ 和 Server 2008+)。
如果成功利用,此 0DAY 漏洞可用于执行具有调用应用程序权限的任意代码,以安装程序、查看、更改、删除数据或创建新的 Windows 帐户。
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:
-
以管理员身份运行命令提示符。
-
要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOTms-msdt filename ”
-
执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。
-
以管理员身份运行命令提示符。
-
要恢复注册表项,请执行命令“reg import filename”
Microsoft Defender 防病毒软件 (MDAV)
Microsoft Defender 防病毒软件使用检测版本1.367.851.0 或更高版本在以下签名下为可能的漏洞利用提供检测和保护 :
-
Trojan:Win32/Mesdetty.A (阻止 msdt 命令行)
-
Trojan:Win32/Mesdetty.B (阻止 msdt 命令行)
-
行为:Win32/MesdettyLaunch.A!blk(终止启动 msdt 命令行的进程)
-
Trojan:Win32/MesdettyScript.A(用于检测包含被丢弃的 msdt 可疑命令的 HTML 文件)
-
Trojan:Win32/MesdettyScript.B(检测包含被丢弃的 msdt 可疑命令的 HTML 文件)
拥有 Microsoft Defender 防病毒 (MDAV) 的客户应打开云提供的保护和自动样本提交。这些功能使用人工智能和机器学习来快速识别和阻止新的和未知的威胁。
Microsoft Defender for Endpoint (MDE)
Microsoft Defender for Endpoint 为客户提供检测和警报。Microsoft 365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
-
Office 应用程序的可疑行为
-
Msdt.exe 的可疑行为
Microsoft Defender for Endpoint (MDE) 的客户可以启用攻击面减少规则“阻止所有 Office 应用程序创建子进程”GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a 阻止 Office 应用程序创建子进程。创建恶意子进程是一种常见的恶意软件策略。
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
原文始发于微信公众号(安全实验室):Windows安全警报:诊断工具MDST远程代码执行漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1100215.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论