感谢本站网友Coje_He的线索传递!
,有研究人员在微软Office—Follina中发现了一个0—day安全漏洞,该漏洞CVE编号为CVE—2022—30190。
Microsoft已确认Windows上的Microsoft Microsoft支持诊断工具中存在此漏洞,当使用Word等应用程序从URL协议调用MSDT时,将会触发此漏洞。
值得注意的是,这段令人困惑的代码可以在不打开文档的情况下运行,比如通过IE的预览窗口。
通过利用此漏洞,攻击者可以运行任意代码来调用应用程序,然后安装应用程序,查看,修改和删除数据,甚至创建新帐户。
本站了解到,这个漏洞似乎并不局限于Windows的版本,只要系统安装了微软支持诊断工具,就有可能暴露。
微软表示,用户只需要禁用MSDT URL协议就可以防止这个漏洞被利用,你仍然可以通过使用Get Help应用程序和系统设置中的其他故障诊断程序来访问故障诊断程序此外,微软还提示用户将Microsoft Defender更新到最新版本,以检测任何可能的利用
禁用MSDT URL协议的方法:
以管理员身份打开命令提示符CMD。
备份注册表项并执行命令reg export HKEY类根 ms—msdt文件名。
执行命令reg delete HKEY _类_根 ms—msdt/F
撤消:
以管理员身份运行命令提示符。
要恢复注册表项,请执行命令reg importfilename
上个月,安全研究员nao_sec意外发现了一个白俄罗斯IP地址提交给Virus Total的恶意Word文档,该文档滥用了微软的MSDT技术他使用外部链接加载HTML,然后使用ms—msdt方案执行PowerShell代码
Kevin Beaumont发现,这是一个由Microsoft Word使用MSDT执行的命令行字符串,即使在禁用宏脚本的情况下也可以执行目前已知受该漏洞影响的版本有Office 2013,2016,Office Pro Plus和Office 2021等
事实上,研究人员早在4月份就向微软报告了该漏洞,但微软表示这不是安全相关的问题,并关闭了漏洞报告,声称远程代码执行没有安全影响可是,直到5月30日,微软才给该漏洞分配了CVE号,尽管迄今为止还没有发布针对该漏洞的补丁