鄭州埃文科技安全頭條

埃文科技發表於2022-06-02

1   漏洞描述

微軟支援診斷工具( MSDT  Microsoft Support Diagnostic Tool )是一種實用程式,用於排除故障並收集診斷資料,供專業人員分析和解決問題。

Microsoft Office 是由 Microsoft( 微軟 ) 公司開發的一套辦公軟體套裝。常用元件有 WordExcel PowerPoint等。

2022 30 日,微軟公司釋出了 Microsoft MSDT 遠端程式碼執行漏洞的緊急安全公告。未經身份驗證的攻擊者利用該漏洞,誘使使用者直接訪問或者預覽惡意Office 文件,透過惡意 Office文件中的遠端模板功能,從伺服器獲取包含惡意程式碼的HTML 檔案並執行,從而實現以當前使用者許可權下的任意程式碼執行攻擊。

該漏洞已知觸發需要使用者對惡意 Office文件進行直接訪問,該漏洞在宏被禁用的情況下仍能透過 Microsoft Support Diagnostics Tool (MSDT) 功能執行程式碼。當惡意檔案儲存為 RTF 格式時,無需開啟檔案,透過資源管理器中的預覽選項卡即可在目標機器上執行任意程式碼。

攻擊者利用該漏洞,可在未授權的情況下遠端執行程式碼,目前漏洞利用程式碼已公開,且已出現在野利用的情況。

2   影響版本

Windows Server 2012 R2 (Server Coreinstallation)

Windows Server 2012 R2

Windows Server 2012 (Server Coreinstallation)

Windows Server 2012

Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server

Core installation)

Windows Server 2008 R2 for x64-basedSystems Service Pack 1

Windows Server 2008 for x64-basedSystems Service Pack 2 (Server Core

installation)

Windows Server 2008 for x64-basedSystems Service Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems ServicePack 1

Windows 7 for 32-bit Systems ServicePack 1

Windows Server 2016 (Server Coreinstallation)

Windows Server 2016

Windows 10 Version 1607 for x64-basedSystems

Windows 10 Version 1607 for 32-bitSystems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-basedSystems

Windows 10 Version 21H2 for ARM64-basedSystems

Windows 10 Version 21H2 for 32-bitSystems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (ServerCore Installation)

Windows 10 Version 20H2 for ARM64-basedSystems

Windows 10 Version 20H2 for 32-bitSystems

Windows 10 Version 20H2 for x64-basedSystems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bitSystems

Windows 10 Version 21H1 for ARM64-basedSystems

Windows 10 Version 21H1 for x64-basedSystems

Windows Server 2019 (Server Coreinstallation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-basedSystems

Windows 10 Version 1809 for x64-basedSystems

Windows 10 Version 1809 for 32-bitSystems


3   漏洞標籤

頭條1.png  

0Day:已經被發現(有可能未被公開),而官方還沒有相關補丁的漏洞。

 

1Day:官方釋出相關補丁的漏洞或漏洞通告,1-3 天內無 POCEXP 公開。

 

nDay:公開很久的漏洞,通殺性較低。

 

POC:(Proof  of  Concept)漏洞驗證程式碼,檢測目標是否存在對應漏洞。

 

EXP:(Exploit)漏洞利用程式碼,執行之後對目標進行攻擊。

4   漏洞評級 

 

4.1  CVSS 評分 

 

判定標準

結果

遠端

攻擊向量(AV

攻擊複雜度(AC

簡單

許可權要求(PR

無需許可權

使用者互動(UI

範圍(S

不改變

機密性影響(CI

完整性影響(II

可用性影響(AI

危害程度判定

高危

 

4.2  CVSS 向量

評分標準

分值

CVSS  3.x

8.8

CVSS  2.0

N/A

 

CVSS(Common  Vulnerability  Scoring  System,  通用漏洞評估方法),是由 NIAC 釋出、FITST 維護的開放式行業標準,協助安全從業人員使用標準化、規範化、統一化的語言對計算機系統安全漏洞的嚴重性進行評估。CVSS 系統對所有漏洞按照從 0.0  10.0 的級別進行評分,其中,10.0 表示最高安全風險。

 

 CVSS 系統中獲得分數 0.0  3.9 的為低危,僅可能透過本地環境利用且需要認證。成功的攻擊者很難或無法訪問不受限制的資訊、無法破壞或損壞資訊且無法制造任何系統中斷。示例:包括預設或可推測的 SNMP 社群名稱以及 OpenSSL  PRNG 內部狀態發現漏洞。

 

 CVSS 系統中獲得分數 4.0  6.9 的為中危,中危可被擁有中級入侵經驗者利用,且不一定需要認證。成功的攻擊者可以部分訪問受限制的資訊、可以破壞部分資訊且可以禁用網路中的個體目標系統。示

 

例:包括允許匿名 FTP 可寫入和弱 LAN 管理器雜湊。 CVSS 系統中獲得分數 7.0  10.0 的為高危,可被輕易訪問利用,且幾乎不需要認證。成功的攻擊者可以訪問機密資訊、可以破壞或刪除資料且可以製造系統中斷。示例:包括匿名使用者可以獲取  Windows密碼策略。

 

5   漏洞驗證

 

5.1  漏洞環境

 

 

測試系統環境: Windows10

 

 

5.2  驗證過程與結果

 

Ø   驗證目標終端是否存在漏洞

 

 頭條.png

6   解決方案

 

微軟公司已釋出漏洞緩解措施,暫未釋出漏洞補丁。

建議謹慎訪問來歷不明的 Office 文件,同時按照以下微軟公告及時採取漏洞臨時緩解措施,並密切關注後續的補丁更新情況。

Microsoft Defender  1.367.719.0 及以上版本支援此漏洞的檢測和防護,Microsoft Defender for Endpoint 已為使用者提供檢測和警報; Microsoft365

Defender 門戶中的以下警報標題可以提示網路上的威脅活動:Office 應用程式的可疑行為、Msdt.exe 的可疑行為。

微軟漏洞緩解指南:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-3019

0-microsoft-support-diagnostic-tool-vulnerability/

方法一:禁用 MSDT URL 協議

禁用 MSDT URL 協議可防止故障排除程式作為連結啟動,包括整個作業系統的連結。仍然可以使用獲取幫助應用程式和系統設定中的其他或附加故障排除程式來訪問故障排除程式。請按照以下步驟禁用:

1. 以管理員身份執行命令提示符

2. 要備份登錄檔項,請執行命令“ reg export HKEY_CLASSES_ROOT\ms-msdt

filename“

3. 執行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”

使用者可透過執行以下緩解方案避免受該漏洞影響:

方法二:其他防護建議:

1.  警惕下載來路不明的文件,同時關閉 Office 預覽窗格。

2.  近期對於不明來歷的文件建議優先使用 WPS 進行檢視。

3.  如果在您的環境中使用 Microsoft Defender  Attack Surface Reduction(ASR) 規則,則在 Block 模式下啟用阻止所有 Office 應用程序建立子程式規則。若您還沒有使用 ASR 規則,可先在 Audit 模式下執行規則,並監視其結果,以確保不會對使用者造成不利影響;

4.  移除 ms-msdt 的檔案型別關聯,在 windows 登錄檔找到 HKCR:\ms-msdt並刪除該條目。當惡意文件被開啟時, Office 將無法呼叫 ms-msdt,從

而阻止惡意軟體執行。注意在使用此緩解方案之前,請確保對登錄檔設置進行備份。

 

 



相關文章