鄭州埃文科技安全頭條
1 漏洞描述
微軟支援診斷工具( MSDT , Microsoft Support Diagnostic Tool )是一種實用程式,用於排除故障並收集診斷資料,供專業人員分析和解決問題。
Microsoft Office 是由 Microsoft( 微軟 ) 公司開發的一套辦公軟體套裝。常用元件有 Word、Excel 、PowerPoint等。
2022 年5 月30 日,微軟公司釋出了 Microsoft MSDT 遠端程式碼執行漏洞的緊急安全公告。未經身份驗證的攻擊者利用該漏洞,誘使使用者直接訪問或者預覽惡意的Office 文件,透過惡意 Office文件中的遠端模板功能,從伺服器獲取包含惡意程式碼的HTML 檔案並執行,從而實現以當前使用者許可權下的任意程式碼執行攻擊。
該漏洞已知觸發需要使用者對惡意 Office文件進行直接訪問,該漏洞在宏被禁用的情況下仍能透過 Microsoft Support Diagnostics Tool (MSDT) 功能執行程式碼。當惡意檔案儲存為 RTF 格式時,無需開啟檔案,透過資源管理器中的預覽選項卡即可在目標機器上執行任意程式碼。
攻擊者利用該漏洞,可在未授權的情況下遠端執行程式碼,目前漏洞利用程式碼已公開,且已出現在野利用的情況。
2 影響版本
Windows Server 2012 R2 (Server Coreinstallation)
Windows Server 2012 R2
Windows Server 2012 (Server Coreinstallation)
Windows Server 2012
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server
Core installation)
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 for x64-basedSystems Service Pack 2 (Server Core
installation)
Windows Server 2008 for x64-basedSystems Service Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems ServicePack 1
Windows 7 for 32-bit Systems ServicePack 1
Windows Server 2016 (Server Coreinstallation)
Windows Server 2016
Windows 10 Version 1607 for x64-basedSystems
Windows 10 Version 1607 for 32-bitSystems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-basedSystems
Windows 10 Version 21H2 for ARM64-basedSystems
Windows 10 Version 21H2 for 32-bitSystems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (ServerCore Installation)
Windows 10 Version 20H2 for ARM64-basedSystems
Windows 10 Version 20H2 for 32-bitSystems
Windows 10 Version 20H2 for x64-basedSystems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bitSystems
Windows 10 Version 21H1 for ARM64-basedSystems
Windows 10 Version 21H1 for x64-basedSystems
Windows Server 2019 (Server Coreinstallation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-basedSystems
Windows 10 Version 1809 for x64-basedSystems
Windows 10 Version 1809 for 32-bitSystems
3 漏洞標籤
0Day:已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。
1Day:官方釋出相關補丁的漏洞或漏洞通告,1-3 天內無 POC、EXP 公開。
nDay:公開很久的漏洞,通殺性較低。
POC:(Proof of Concept)漏洞驗證程式碼,檢測目標是否存在對應漏洞。
EXP:(Exploit)漏洞利用程式碼,執行之後對目標進行攻擊。
4 漏洞評級
4.1 CVSS 評分
判定標準 | 結果 遠端 |
攻擊向量(AV) | |
攻擊複雜度(AC) | 簡單 |
許可權要求(PR) | 無需許可權 |
使用者互動(UI) | 是 |
範圍(S) | 不改變 |
機密性影響(CI) | 高 |
完整性影響(II) | 高 |
可用性影響(AI) | 高 |
危害程度判定 | 高危 |
4.2 CVSS 向量
評分標準 | 分值 |
CVSS 3.x | 8.8 |
CVSS 2.0 | N/A |
CVSS(Common Vulnerability Scoring System, 通用漏洞評估方法),是由 NIAC 釋出、FITST 維護的開放式行業標準,協助安全從業人員使用標準化、規範化、統一化的語言對計算機系統安全漏洞的嚴重性進行評估。CVSS 系統對所有漏洞按照從 0.0 至 10.0 的級別進行評分,其中,10.0 表示最高安全風險。
在 CVSS 系統中獲得分數 0.0 至 3.9 的為低危,僅可能透過本地環境利用且需要認證。成功的攻擊者很難或無法訪問不受限制的資訊、無法破壞或損壞資訊且無法制造任何系統中斷。示例:包括預設或可推測的 SNMP 社群名稱以及 OpenSSL PRNG 內部狀態發現漏洞。
在 CVSS 系統中獲得分數 4.0 至 6.9 的為中危,中危可被擁有中級入侵經驗者利用,且不一定需要認證。成功的攻擊者可以部分訪問受限制的資訊、可以破壞部分資訊且可以禁用網路中的個體目標系統。示
例:包括允許匿名 FTP 可寫入和弱 LAN 管理器雜湊。在 CVSS 系統中獲得分數 7.0 至 10.0 的為高危,可被輕易訪問利用,且幾乎不需要認證。成功的攻擊者可以訪問機密資訊、可以破壞或刪除資料且可以製造系統中斷。示例:包括匿名使用者可以獲取 Windows密碼策略。
5 漏洞驗證
5.1 漏洞環境
測試系統環境: Windows10
5.2 驗證過程與結果
Ø 驗證目標終端是否存在漏洞
6 解決方案
微軟公司已釋出漏洞緩解措施,暫未釋出漏洞補丁。
建議謹慎訪問來歷不明的 Office 文件,同時按照以下微軟公告及時採取漏洞臨時緩解措施,並密切關注後續的補丁更新情況。
Microsoft Defender 在 1.367.719.0 及以上版本支援此漏洞的檢測和防護,Microsoft Defender for Endpoint 已為使用者提供檢測和警報; Microsoft365
Defender 門戶中的以下警報標題可以提示網路上的威脅活動:Office 應用程式的可疑行為、Msdt.exe 的可疑行為。
微軟漏洞緩解指南:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-3019
0-microsoft-support-diagnostic-tool-vulnerability/
方法一:禁用 MSDT URL 協議
禁用 MSDT URL 協議可防止故障排除程式作為連結啟動,包括整個作業系統的連結。仍然可以使用“獲取幫助”應用程式和系統設定中的其他或附加故障排除程式來訪問故障排除程式。請按照以下步驟禁用:
1. 以管理員身份執行命令提示符
2. 要備份登錄檔項,請執行命令“ reg export HKEY_CLASSES_ROOT\ms-msdt
filename“
3. 執行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”
使用者可透過執行以下緩解方案避免受該漏洞影響:
方法二:其他防護建議:
1. 警惕下載來路不明的文件,同時關閉 Office 預覽窗格。
2. 近期對於不明來歷的文件建議優先使用 WPS 進行檢視。
3. 如果在您的環境中使用 Microsoft Defender 的 Attack Surface Reduction(ASR) 規則,則在 Block 模式下啟用“阻止所有 Office 應用程序建立子程式”規則。若您還沒有使用 ASR 規則,可先在 Audit 模式下執行規則,並監視其結果,以確保不會對使用者造成不利影響;
4. 移除 ms-msdt 的檔案型別關聯,在 windows 登錄檔找到 HKCR:\ms-msdt並刪除該條目。當惡意文件被開啟時, Office 將無法呼叫 ms-msdt,從
而阻止惡意軟體執行。注意在使用此緩解方案之前,請確保對登錄檔設置進行備份。
相關文章
- 鄭州開票-鄭州開票2020-11-25
- 鄭州哪有開票-鄭州開票2020-11-25
- 關於鄭州開票-鄭州開票2020-11-25
- 鄭州哪裡有開票-鄭州開票2020-11-25
- 鄭州哪裡有開票-鄭州開票2020-11-24
- 關 於 鄭 州 哪 裡 可 以 開 具 票-鄭州2021-03-02
- 關於鄭州哪裡有開發具票-鄭州本地網2020-12-13
- 關於鄭州哪裡有開住宿費發票-鄭州本地寶2020-11-07
- 關於鄭州哪裡可以開住宿費發票-鄭州本地寶2020-06-06
- 關於鄭州哪裡可以開手撕發票-鄭州本地寶2020-06-06
- 關 於 鄭 州 哪 裡 可 以 開 滴 滴 費 F 票-鄭州2021-03-06
- 鄭州的小夥伴集合:現在鄭州的大環境有多難?2024-05-23
- 關於鄭州哪裡可以開餐飲費發票-鄭州本地寶2020-11-08
- 關 於 鄭 州 哪 裡 可 以 開 酒 店 住 宿 費 F 票-鄭州2021-03-06
- 別了鄭州,2020再出發2020-11-17
- [鄭州] 招聘 前端 東站附近2021-04-03前端
- 鄭州市消費者協會:2021年鄭州市餐飲情況調查2022-03-15
- 關於鄭州哪裡可以開機動車發票-鄭州百度派2020-11-23
- 全面創新 永不止步 | 綠盟科技創新安全全國巡講·鄭州站順利舉辦2021-06-07
- 關於鄭州開會議費發票-開票服務大廳一鄭州本地寶2020-11-08
- 關於鄭州哪裡可以開具住宿發票-開票服務大廳-鄭州本地寶2020-11-06
- 2024 CCPC 鄭州邀請賽遊記2024-05-13
- 鄭州哪裡可以開發票2020-11-13
- 鄭州高仿包哪裡有賣2021-03-05
- 關於鄭州哪裡可以開具住宿費發票-開票服務大廳-鄭州本地寶2020-11-08
- 關於鄭州哪裡可以開具餐飲發票-開票服務大廳-鄭州本地寶2020-11-08
- 從開封到鄭州再到廣州,我的IT夢開始的地方2020-10-24
- 鄭州2024-ccpc-賽後總結-crf2024-06-17CRF
- 關於鄭州哪裡有開發票2020-11-25
- 鄭州哪裡有開具住宿費電子發票-開票服務大廳-鄭州百度經驗2020-11-09
- 鄭州開廣告發票“哪裡可以開”2020-11-26
- 相約鄭州 | 綠盟科技即將亮相2021世界數字產業博覽會2021-03-23產業
- “定居”鄭州,有一種速度叫“超聚變”速度2022-08-24
- 鄭州市健康碼崩了?大資料局回應2022-03-30大資料
- 鄭州達內:物聯網應用程式有哪些2019-07-29
- 頭條號的10種爆文標題套路,佩服2022-07-11
- 2021年鄭州市網路購物消費調查2022-03-14
- 圖譜謎宮(2019年8月11日於鄭州)2019-08-11