企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    近日，奇安信CERT监测到MicrosoftWindows支持诊断工具(MSDT)远程代码执行漏洞的在野利用、PoC、EXP、技术细节。攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件，通过'ms-msdt'URI来执行恶意PowerShell代码。值得注意的是，该漏洞在宏被禁用的情况下，仍能通过MSDT（MicrosoftSupportDiagnosticsTool）功能执行代码，在资源管理器中的预览功能打开的情况下，当恶意文件保存为RTF格式时，甚至无需打开文件，通过资源管理器中的预览选项卡即可触发漏洞在目标机器上执行powershell代码。

    经测试，在Windows保持最新版本的情况下，Office2013/2016受影响，并且不支持自动更新，2022/05/10的补丁对该漏洞未做修补。Office2019/2021在账户的自动更新处，更新到最新大版本2205后不受影响，该版本在2022/05/22后更新。

    鉴于Office各版本及补丁众多，更新覆盖面不够广泛，建议用户使用处置建议中的缓解措施对注册表进行修改。

    目前，奇安信CERT已监测到此漏洞的在野利用、PoC、EXP及利用细节，鉴于该漏洞目前处于在野利用状态，建议用户尽快采取缓解措施避免受此漏洞影响。

    本次更新内容：

    修改漏洞描述，新增Office受影响版本

    奇安信红雨滴团队已成功复现MicrosoftWindows支持诊断工具(MSDT)远程代码执行漏洞，复现截图如下:

    风险等级

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    威胁评估

    处置建议

    一、用户可通过执行以下缓解方案避免受该漏洞影响：

    1.警惕下载来路不明的文档，同时关闭预览窗格。

    2.如果在您的环境中使用MicrosoftDefender的AttackSurfaceReduction(ASR)规则，则在Block模式下激活“阻止所有Office应用程序创建子进程”规则。若您还没有使用ASR规则，可先在Audit模式下运行规则，并监视其结果，以确保不会对用户造成不利影响；

    3.移除ms-msdt的文件类型关联，在windows注册表找到HKCR:\ms-msdt并删除该条目。当恶意文档被打开时，Office将无法调用ms-msdt，从而阻止恶意软件运行。注意在使用此缓解方案之前，请确保对注册表设置进行备份。

    通过命令行删除：

    1、以管理员身份运行命令提示符。

    2、要备份注册表项，请执行命令"regexportHKEY_CLASSES_ROOT\ms-msdtfilename"。

    3、执行命令"regdeleteHKEY_CLASSES_ROOT\ms-msdt/f"。

    图形化示例：

    如何恢复已删除的注册表：

    1、以管理员身份运行命令提示符。

    2、要备份注册表项，请执行命令"regimportfilename"。

    二、Office2019/2021的用户可升级至最新版本

    升级Office至16.0.15225.XXX版本可在一定程度上缓解此漏洞。Office2019/2021的用户可通过打开“文件->账户->Office更新->立即更新”来将Office版本升级至5月最新版本。用户可通过“文件->账户->关于Word”来查看当前版本。

    鉴于Office各版本及补丁众多，更新覆盖面不够广泛，建议用户使用处置建议第一条中的缓解措施对注册表进行修改。

    参考资料

    [1]https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

    [2]https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

    [3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

    [4]https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

    时间线

    2022年5月31日，奇安信CERT发布安全风险通告；

    2022年6月1日，奇安信CERT发布安全风险通告第二次更新。

    到奇安信NOX-安全监测平台查询更多漏洞详情