Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞的在野利用、PoC、EXP、技术细节。攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件,通过 'ms-msdt' URI来执行恶意PowerShell代码。值得注意的是,该漏洞在宏被禁用的情况下,仍能通过MSDT(Microsoft Support Diagnostics Tool)功能执行代码,在资源管理器中的预览功能打开的情况下,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可触发漏洞在目标机器上执行powershell代码。

经测试,在Windows保持最新版本的情况下,Office 2013/2016受影响,并且不支持自动更新,2022/05/10的补丁对该漏洞未做修补。Office 2019/2021在账户的自动更新处,更新到最新大版本2205后不受在野样本影响,但仍可以通过rtf格式触发漏洞,该版本在2022/05/22后更新。

鉴于Office各版本及补丁众多,更新覆盖面不够广泛,建议用户使用处置建议中的缓解措施对注册表进行修改。

目前,奇安信CERT已监测到此漏洞的在野利用、PoC、EXP及利用细节,鉴于该漏洞目前处于在野利用状态,建议用户尽快采取缓解措施避免受此漏洞影响。


本次更新内容:

修改漏洞描述,新增Office受影响版本

漏洞名称
Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞
公开时间
2022-05-30
更新时间
2022-06-01
CVE编号
CVE-2022-30190
其他编号
QVD-2022-7976
威胁类型

代码执行

技术类型
安全特性绕过
厂商
Microsoft
产品
Windows
风险等级
奇安信CERT风险评级
风险等级
高危
蓝色(一般事件)
现时威胁状态
POC状态
EXP状态
在野利用状态
技术细节状态
已公开
已公开
已发现
已公开

漏洞描述

Word等应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以通过MSDT运行任意POWERSHELL代码。攻击者可以执行POWERSHELL代码安装程序、查看、更改或删除数据。

影响版本

Windows Server 2012 R2 (Server Core   installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core   installation)

Windows Server 2012

Windows Server 2008 R2 for   x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for   x64-based Systems Service Pack 1

Windows Server 2008 for x64-based   Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based   Systems Service Pack 2

Windows Server 2008 for 32-bit   Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit   Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems   Service Pack 1

Windows 7 for 32-bit Systems   Service Pack 1

Windows Server 2016  (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for   x64-based Systems

Windows 10 Version 1607 for 32-bit   Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for   x64-based Systems

Windows 10 Version 21H2 for   ARM64-based Systems

Windows 10 Version 21H2 for 32-bit   Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2   (Server Core Installation)

Windows 10 Version 20H2 for   ARM64-based Systems

Windows 10 Version 20H2 for 32-bit   Systems

Windows 10 Version 20H2 for x64-based   Systems

Windows Server 2022 Azure Edition   Core Hotpatch

Windows Server 2022 (Server Core   installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit   Systems

Windows 10 Version 21H1 for   ARM64-based Systems

Windows 10 Version 21H1 for x64-based   Systems

Windows Server 2019  (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for   ARM64-based Systems

Windows 10 Version 1809 for   x64-based Systems

Windows 10 Version 1809 for 32-bit   Systems

不受影响版本

暂无

其他受影响组件

暂无


奇安信红雨滴团队已成功复现Microsoft Windows 支持诊断工具(MSDT)远程代码执行漏洞,复现截图如下:

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新 网络安全 第2张


风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)



威胁评估

漏洞名称
Microsoft Windows支持诊断工具(MSDT)远程代码执行漏洞
CVE编号
CVE-2022-30190
其他编号
QVD-2022-7976
CVSS 3.1评级
高危
CVSS 3.1分数
7.8
CVSS向量
访问途径(AV
攻击复杂度(AC
本地
所需权限(PR
用户交互(UI
不需要
需要
影响范围(S
机密性影响(C
不变
完整性影响(I
可用性影响(A
危害描述

攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件,通过 'ms-msdt' URI来执行任意代码,该漏洞在宏被禁用的情况下,仍能通过MSDT(Microsoft Support Diagnostics Tool)功能(用于排除故障并收集诊断数据以供专业人员分析解决问题)执行代码,在资源管理器中的预览功能打开的情况下,当恶意文件保存为RTF格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可触发漏洞在目标机器上执行powershell代码。



处置建议

一、用户可通过执行以下缓解方案避免受该漏洞影响:

1.警惕下载来路不明的文档,同时关闭预览窗格。
2.如果在您的环境中使用Microsoft Defender的 Attack Surface Reduction(ASR)规则,则在Block模式下激活“阻止所有Office应用程序创建子进程”规则。若您还没有使用ASR规则,可先在Audit模式下运行规则,并监视其结果,以确保不会对用户造成不利影响;
3.移除ms-msdt的文件类型关联,在windows注册表找到HKCR:/ms-msdt并删除该条目。当恶意文档被打开时,Office将无法调用ms-msdt,从而阻止恶意软件运行。注意在使用此缓解方案之前,请确保对注册表设置进行备份。
通过命令行删除:
1、以管理员身份运行命令提示符。
2、要备份注册表项,请执行命令"reg export HKEY_CLASSES_ROOT/ms-msdt filename"。
3、执行命令"reg delete HKEY_CLASSES_ROOT/ms-msdt /f"。
图形化示例:

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新 网络安全 第3张

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新 网络安全 第4张

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新 网络安全 第5张

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新 网络安全 第6张

如何恢复已删除的注册表:
1、以管理员身份运行命令提示符。
2、要备份注册表项,请执行命令"reg import filename"。


二、Office 2019/2021的用户可升级至最新版本

升级Office至16.0.15225.XXX版本可在一定程度上缓解此漏洞。Office 2019/2021的用户可通过打开“文件 -> 账户 -> Office更新 -> 立即更新”来将Office 版本升级至5月最新版本。用户可通过“文件 -> 账户 ->关于Word”来查看当前版本。

Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞安全风险通告第二次更新 网络安全 第7张

鉴于Office各版本及补丁众多,更新覆盖面不够广泛,建议用户使用处置建议第一条中的缓解措施对注册表进行修改。



参考资料

[1]https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

[2]https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[4]https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/



时间线

2022年5月31日,奇安信CERT发布安全风险通告;

2022年6月1日,奇安信CERT发布安全风险通告第二次更新。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

参与评论