2022 年 5 月 30 日星期一,Microsoft 发布了有关 Windows 漏洞中的 Microsoft 支持诊断工具 (MSDT) 的 CVE-2022-30190。

使用从调用应用程序(如 Word)的 URL 协议调用 MSDT 时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后,攻击者可以在用户权限允许的上下文中安装程序、查看、更改或删除数据,或创建新帐户。

解决方法

禁用 MSDT URL 协议

禁用 MSDT URL 协议可防止将疑难解答程序作为链接(包括整个操作系统中的链接)启动。仍可使用“获取帮助”应用程序以及在系统设置中作为其他疑难解答或其他疑难解答程序访问疑难解答。请按照以下步骤禁用:

  1. 管理员身份运行 命令提示符
  2. 若要备份注册表项,请执行命令“reg 导出HKEY_CLASSES_ROOT\ms-msdt 文件名
  3. 执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

如果看不明白的话可以直接复制 示例里面 的代码即可。

如何撤消变通办法

  1. 管理员身份运行 命令提示符
  2. 若要还原注册表项,请执行命令“reg 导入文件名”

Microsoft Defender Detections & Protections

Microsoft Defender Antivirus (MDAV)

Microsoft Defender 防病毒软件使用检测版本 1.367.851.0 或更高版本,为以下签名下可能的漏洞利用提供检测和保护:

  • Trojan:Win32/Mesdetty.A (blocks msdt commandline)
  • 木马:Win32/Mesdetty.B (阻止 msdt 命令行)
  • Behavior:Win32/MesdettyLaunch.A!blk (终止启动 msdt 命令行的进程)
  • Trojan:Win32/MesdettyScript.A (检测包含 msdt 可疑命令的 HTML 文件被丢弃)
  • Trojan:Win32/MesdettyScript.B (用于检测包含 msdt 可疑命令的 HTML 文件被丢弃)

使用 Microsoft Defender 防病毒软件 (MDAV) 的客户应启用云提供的保护和自动示例提交。这些功能使用人工智能和机器学习来快速识别和阻止新的和未知的威胁。

Microsoft Defender for Endpoint (MDE)

Microsoft Defender for Endpoint 提供客戶檢測和警報。Microsoft 365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:

  • Office 应用程序的可疑行为
  • Msdt 的可疑行为.exe

Microsoft Defender for Endpoint (MDE) 的客户可以启用攻击面减少规则“阻止所有 Office 应用程序创建子进程”GUID:d4f940ab-401b-4efc-aadc-ad5f3c50688a,用于阻止 Office 应用创建子进程。创建恶意子进程是一种常见的恶意软件策略。有关详细信息,请参阅 ASR 规则阻止所有 Office 应用程序创建子进程。

Microsoft Defender for Office 365 (MDO)

Microsoft Defender for Office 365 为包含用于利用此漏洞的恶意文档或 URL 的电子邮件提供检测和保护:

  • Trojan_DOCX_OLEAnomaly_AC
  • Trojan_DOCX_OLEAnomaly_AD
  • Trojan_DOCX_OLEAnomaly_AE
  • Trojan_DOCX_OLEAnomaly_AF
  • Exploit_UIA_CVE_2022_30190
  • Exploit_CVE_2022_30190_ShellExec
  • Exploit_HTML_CVE_2022_30190_A
  • Exploit_Win32_CVE_2022_30190_B

常见问题

问: Office 的受保护视图和应用程序防护是否提供针对此漏洞的保护?

一个: 如果调用应用程序是 Microsoft Office 应用程序,则默认情况下,Microsoft Office 会在 Protected View 或 Application Guard for Office 中从 Internet 打开文档,这两者都可以防止当前攻击。

问: 将 GPO 设置 “计算机配置\管理模板\系统\疑难解答和诊断\Microsoft 支持诊断工具”\“Microsoft 支持诊断工具:打开与支持提供商的 MSDT 交互式通信” 配置为 “禁用” 是否是另一种解决方法?

Registry Hive: HKEY_LOCAL_MACHINE<br/>Registry Path: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\<br/>Value Name: DisableQueryRemoteServer<br/>Type: REG_DWORD<br/>Value: 0

一个: 否,此 GPO 不提供针对此漏洞的保护。“与支持提供者的交互式通信”是 MSDT 在启动时运行的一种特殊模式,没有参数,对 MSDT 对 URL 协议的支持没有影响。

问: 将 GPO 设置配置为 “计算机配置 – 管理模板 – 系统 – 疑难解答和诊断 – Microsoft 支持诊断工具”\“疑难解答:允许用户访问针对已知问题的推荐疑难解答”到“ 已禁用 ”是另一种解决方法?

一个: 否,启用或禁用此组策略对疑难解答功能的易受攻击部分没有影响,因此它不是可行的解决方法。

问: 使用 Windows Defender Application Control (WDAC) 等技术阻止 MSDT 是否等效于删除 MSDT 处理程序“HKEY_CLASSES_ROOT\ms-msdt”是一种可行的解决方法?

一个: 阻止 MSDT 将阻止所有基于 MSDT 的 Windows 疑难解答程序启动,如网络疑难解答和打印机疑难解答。建议的解决方法将禁用对单击 MSDT 链接的支持,用户可以继续使用熟悉的 Windows 疑难解答。

:哪些 Windows 版本需要解决方法?

:MSDT URL 协议在 Windows Server 2019 和 Windows 10 版本 1809 以及更高版本支持的 Windows 中可用。变通办法部分中提到的注册表项在早期受支持的 Windows 版本中将不存在,因此不需要变通办法。

我们将使用更多信息更新 CVE-2022-30190

MSRC 团队

修订日期:
06/06/2022 – 添加了更多常见问题解答。
06/07/2022 – 又添加了一个问题和答案。
06/07/2022 – 添加了其他检测信息。

原链接:CVE-2022-30190 微软支持诊断工具漏洞的指南 – 微软安全响应中心 (microsoft.com)

相关链接 : CVE-2022-30190 - 安全更新程序指南 - Microsoft - Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability

示例

解决办法:
以管理员身份打开 “命令提示符”,输入以下指令即可:

1
2
reg export HKEY_CLASSES_ROOT\ms-msdt C:\msdt_reg_backup.reg
reg delete HKEY_CLASSES_ROOT\ms-msdt /f