5月30日,微軟發布安全公告,披露了Microsoft MSDT 中的任意代碼執行漏洞(CVE-2022-30190)。目前該漏洞POC已經公開,且已檢測到在野利用。該漏洞利用難度較低,預計將會在APT攻擊中被廣泛利用。
漏洞概述
MSDT(Microsoft Support Diagnostics Tool,微軟支持診斷工具)是一種實用程序,用于排除故障并收集診斷數據以供專業人員分析和解決問題。從Word等應用程序使用URL協議調用MSDT時存在代碼執行漏洞,成功利用該漏洞可以使用調用者的權限運行任意代碼,并在用戶權限允許的范圍內安裝程序,查看、更改、刪除數據,或創建新賬戶。
rtf格式樣本甚至可以不打開文件,直接在預覽視圖中觸發漏洞。
處置建議
1、微軟官方處置方案
目前微軟已發布漏洞緩解措施,暫未發布漏洞補丁。
(1)移除msdt文件類型關聯
刪除注冊表項HKEY_CLASSES_ROOTms-msdt后,office無法啟動msdt,從而阻止后續攻擊載荷執行。刪除前需要手動備份,等待后續補丁更新后恢復。
(2)更新Microsoft Defender
將Microsoft Defender更新至1.367.719.0?或更高版本后可以為漏洞利用提供檢測和防護。報警簽名如下所示:
Trojan:Win32/Mesdetty.A?
Trojan:Win32/Mesdetty.B?
Behavior:Win32/MesdettyLaunch.A
Behavior:Win32/MesdettyLaunch.B
Behavior:Win32/MesdettyLaunch.C
官方參考鏈接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
2、啟明星辰檢測方案
(1)對于攜帶漏洞的惡意Office樣本,啟明星辰天闐高級持續性威脅檢測與管理系統(TAR)的動態檢測模塊無需升級即可檢測相關攻擊樣本,靜態檢測模塊已添加該漏洞的識別規則。
(2)對于漏洞觸發后下載的遠程html,啟明星辰全線檢測產品已支持檢測。
規則名:TCP_安全漏洞_office_msdt_遠程代碼執行漏洞_CVE-2022-30190
?
END
?