2022 年 5 月 30 日星期一,微软针对 Windows 中的 Microsoft 支持诊断工具 (MSDT) 漏洞发布了 CVE-2022-30190。2022 年 6 月 14 日星期二,Microsoft 发布了 Windows 更新以解决此漏洞。Microsoft 建议尽快安装更新。
从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后,攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。
解决方法
禁用 MSDT URL 协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:
- 以管理员身份运行命令提示符。
- 要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename ”
- 执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
如何撤消解决方法
- 以管理员身份运行命令提示符。
- 要恢复注册表项,请执行命令“reg import filename”
Microsoft Defender 检测和保护
Microsoft Defender 防病毒软件 (MDAV)
Microsoft Defender 防病毒软件使用检测版本1.367.851.0 或更高版本在以下签名下为可能的漏洞利用提供检测和保护 :
- Trojan:Win32/Mesdetty.A (阻止 msdt 命令行)
- Trojan:Win32/Mesdetty.B (阻止 msdt 命令行)
- 行为:Win32/MesdettyLaunch.A!blk(终止启动 msdt 命令行的进程)
- Trojan:Win32/MesdettyScript.A(用于检测包含被丢弃的 msdt 可疑命令的 HTML 文件)
- Trojan:Win32/MesdettyScript.B(检测包含被丢弃的 msdt 可疑命令的 HTML 文件)
拥有 Microsoft Defender 防病毒 (MDAV) 的客户应打开云提供的保护和自动样本提交。这些功能使用人工智能和机器学习来快速识别和阻止新的和未知的威胁。
Microsoft Defender for Endpoint (MDE)
Microsoft Defender for Endpoint 为客户提供检测和警报。Microsoft 365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
- Office 应用程序的可疑行为
- Msdt.exe 的可疑行为
Microsoft Defender for Endpoint (MDE) 的客户可以启用攻击面减少规则“阻止所有 Office 应用程序创建子进程”GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a 阻止 Office 应用程序创建子进程。创建恶意子进程是一种常见的恶意软件策略。有关详细信息,请参阅 ASR 规则 阻止所有 Office 应用程序创建子进程。
适用于 Office 365 的 Microsoft Defender (MDO)
Microsoft Defender for Office 365 为包含用于利用此漏洞的恶意文档或 URL 的电子邮件提供检测和保护:
- Trojan_DOCX_OLEAnomaly_AC
- Trojan_DOCX_OLEAnomaly_AD
- 木马_DOCX_OLEAnomaly_AE
- Trojan_DOCX_OLEAnomaly_AF
- Exploit_UIA_CVE_2022_30190
- Exploit_CVE_2022_30190_ShellExec
- Exploit_HTML_CVE_2022_30190_A
- Exploit_Win32_CVE_2022_30190_B
FAQ
问: Office 的 Protected View 和 Application Guard 是否提供针对此漏洞的保护?
答:如果调用应用程序是 Microsoft Office 应用程序,默认情况下,Microsoft Office 在 Protected View 或 Application Guard for Office 中打开来自 Internet 的文档,这两者都可以防止当前的攻击。
问:将 GPO 设置计算机配置\管理模板\系统\疑难解答和诊断\Microsoft 支持诊断工具\“Microsoft 支持诊断工具:打开与支持提供者的 MSDT 交互通信”配置为“禁用”另一种解决方法吗?
Registry Hive: HKEY_LOCAL_MACHINE
Registry Path: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\
Value Name: DisableQueryRemoteServer
Type: REG_DWORD
Value: 0
答:不,此 GPO 不提供针对此漏洞的保护。“与支持提供者交互通信”是MSDT在无参数启动时运行的特殊模式,不影响MSDT对URL协议的支持。
问:配置 GPO 设置计算机配置 – 管理模板 – 系统 – 故障排除和诊断 – Microsoft 支持诊断工具\“故障排除:允许用户访问针对已知问题的推荐故障排除”到“禁用”另一种解决方法?
答:不,启用或禁用此组策略对疑难解答功能的易受攻击部分没有影响,因此它不是可行的解决方法。
问:使用 Windows Defender 应用程序控制 (WDAC) 等技术阻止 MSDT 是否等同于删除 MSDT 处理程序“HKEY_CLASSES_ROOT\ms-msdt”是一种可行的解决方法?
答:阻止 MSDT 将阻止所有基于 MSDT 的 Windows 疑难解答程序启动,例如网络疑难解答程序和打印机疑难解答程序。推荐的解决方法禁用对单击 MSDT 链接的支持,用户可以继续使用熟悉的 Windows 疑难解答。
问:哪些 Windows 版本需要解决方法?
答:MSDT URL 协议在 Windows Server 2019 和 Windows 10 版本 1809 以及更高版本的 Windows 中可用。解决方法部分中提到的注册表项在早期受支持的 Windows 版本中不存在,因此不需要解决方法。
我们将使用更多信息更新CVE-2022-30190。
MSRC 团队
修订:
06/06/2022 – 添加了更多常见问题解答。
2022 年 6 月 7 日 – 又添加了一个问题和答案。
06/07/2022 – 添加了额外的检测信息。
2022 年 6 月 14 日 – 宣布解决该漏洞的更新。
企业内可通过桌管产品推送脚本来修复此漏洞
Greetings! Very helpful advice in this particular article!
It is the little changes that make the most significant changes.
Thanks a lot for sharing!
It’s amazing designed for me to have a web page, which is useful
in favor of my knowledge. thanks admin
What a stuff of un-ambiguity and preserveness of precious experience about unexpected emotions.
I have read so many posts about the blogger lovers however this paragraph
is in fact a nice piece of writing, keep it up.