抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Microsoft MSDT任意代码执行漏洞（CVE-2022-30190）

宣布时间 2022-05-31

0x00 漏洞概述

CVE ID	CVE-2022-30190	发现时间	2022-05-30
类型	代码执行	等级	高危
远程利用		影响范围
攻击庞大度	低	用户交互	是
PoC/EXP	已果然	在野利用	是

0x01 漏洞详情

5月30日，微软宣布宁静通告，披露了 Microsoft MSDT中的任意代码执行漏洞（CVE-2022-30190），该漏洞的CVSS评分为7.8。目前该漏洞已经果然披露，且已检测到在野利用。

MSDT（Microsoft Support Diagnostics Tool，微软支持诊断工具）是一种实用法式，用于排除故障并收集诊断数据以供专业人员分析和解决问题。

从 Word 等调用应用法式使用 URL 协议调用 MSDT 时存在代码执行漏洞，乐成利用该漏洞可以使用调用应用法式的权限运行任意代码，并在用户权限允许的范围内安装法式，检察、更改或删除数据，或创建新账户。漏洞复现如下：

该漏洞是隶属于白俄罗斯的IP地址上传到 VirusTotal的恶意Word 文档中检测到的。恶意文件通过利用 Word 的远程模板功效从服务器获取 HTML 文件，然后使用“ms-msdt://”URI 执行 PowerShell 代码。即使禁用了宏，Microsoft Word 也会通过 msdt执行代码。此外，当恶意文件生存为RTF格式时，甚至无需打开文件，通过资源管理器中的预览选项卡即可在目标系统上执行任意代码。

影响范围

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

0x02 宁静建议

微软宁静响应中心已经宣布了此漏洞的指南，受影响用户可以选择禁用MSDT URL协议或应用非官方补�。�

禁用MSDT URL协议

禁用 MSDT URL 协议可防止故障排除法式作为链接启动，包罗整个操作系统的链接。但仍然可以使用其它方式访问故障排除法式。

1.以管理员身份运行命令提示符。

2.要备份注册表项，请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename“。

3.执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

取消：

1.以管理员身份运行命令提示符。

2.要恢复备份注册表项，请执行命令“reg import filename”。

此外，Microsoft Defender 防病毒软件使用检测版本1.367.719.0?或更高版本为可能的漏洞利用提供检测和�；�；Microsoft Defender for Endpoint 为客户提供检测和警报；Microsoft 365 Defender 门户中的以下警报标题可以指示网络上的威胁活动：

l Office 应用法式的可疑行为

l Msdt.exe 的可疑行为

参考链接：

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

非官方补丁

0patch 微补丁服务主要用于在官方修复可用之前�；は低�。0patch已经针对此漏洞为某些Windows版本宣布了免费的微补丁，但该补丁不会完全禁用MSDT协议处置法式，而只是增加了对用户提供的路径的清理。注意，要下载此微补丁，需要注册0patch帐户并安装0patch agent。该微补丁适用于以下Windows版本：

Windows 11 v21H2

Windows 10 v21H2

Windows 10 v21H1

Windows 10 v20H2

Windows 10 v2004

Windows 10 v1909

Windows 10 v1903

Windows 10 v1809

Windows 10 v1803

Windows 7

Windows Server 2008 R2

下载链接：

https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html

其它建议

1.建议关闭Windows资源管理器中的预览窗格，以消除它作为预览恶意文件时可利用的攻击媒介。

2. 如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)规则，则可在Block模式下激活“阻止所有Office应用法式创建子进程”规则。若您还没有使用ASR规则，可先在Audit模式下运行规则，视察结果以确保不会对系统造成倒霉影响。

注意：研究人员将检测到在野利用的0 day漏洞标识为Microsoft Office 代码执行0 day漏洞（称为“Follina”），该漏洞影响了Office 2016 和 Office 2021等。本通告主要参考微软官方通告Microsoft Windows 支持诊断工具 (MSDT) 任意代码执行漏洞。

0x03 参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

0x04 版本信息

版本	日期	修改内容
V1.0	2022-05-31	首次宣布
V2.0	2022-06-02	新增缓解措施等

0x05 附录

抖圈为赌而生简介

抖圈为赌而生公司建立于1996年，并于2010年6月23日在深交所中小板正式挂牌上市，是国内极具实力的、拥有完全自主知识产权的网络宁静产物、可信宁静管理平台、宁静服务与解决方案的综合提供商。

公司总部位于北京市中关村软件园，在全国各省、市、自治区设有分支机构，拥有笼罩全国的渠道体系和技术支持中心，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。

多年来，抖圈为赌而生致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务，资助客户全面提升其IT基础设施的宁静性和生产效能，为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

关于抖圈为赌而生

抖圈为赌而生宁静应急响应中心主要针对重要宁静漏洞的预警、跟踪和分享全球最新的威胁情报和宁静陈诉。

关注以下公众号，获取全球最新宁静资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号