2022年5月31日,国家信息安全漏洞共享平台(CNVD)收录了微软支持诊断工具远程代码执行漏洞(CNVD-2022-42150,对应CVE-2022-30190)。Microsoft Office 是由 Microsoft (微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint 等。
恶意文档可以调用应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 ‘ms-msdt’ URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后,攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。漏洞细节已在互联网上公开,可能已被在野利用。
该漏洞CVSS评分:7.8,危害等级:高危
临时修补建议:禁用 MSDT URL 协议
1. 以管理员身份运行命令提示符。
2. 备份注册表项,执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename1 ”
3. 执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
(如何撤消此解决方法:以管理员身份运行命令提示符,执行命令“reg import filename1”恢复注册表项。)
国家信息安全漏洞库 (cnnvd.org.cn):http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202205-4277
CVE-2022-30190 – Security Update Guide – Microsoft – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190