CVE-2022-30190 微软支持诊断工具漏洞指南
注意: 本博客文章是《Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability》的摘要翻译版本。最新信息请参考原文。
2022年7月12日更新: 作为微软响应的一部分,7月累积更新中修复了发现的Defense in depth变种。微软建议尽快安装7月更新程序。
| Windows 版本 | KB 链接 | 目录链接 |
|---|---|---|
| Windows 8.1 Windows Server 2012 R2 | 5015805 | Download |
| Windows Server 2012 | 5015805 | Download |
| Windows 7 Windows Server 2008 R2 | 5015805 | Download |
| Windows Server 2008 SP2 | 5015805 | Download |
2022年5月30日星期一(美国时间),微软发布了关于Windows微软支持诊断工具(Microsoft Support Diagnostic Tool, MSDT)的漏洞CVE-2022-30190。2022年6月14日星期二(美国时间),微软发布了针对此漏洞的Windows更新程序。微软建议Windows 8.1及更早版本的操作系统按照上表安装KB5015805。Defense in depth修复已集成到Windows 10及以后版本的累积更新中。
当从Word等调用应用程序使用URL协议调用MSDT时,存在远程代码执行漏洞。攻击者利用此漏洞可能以调用应用程序的权限执行任意代码。随后,攻击者可以在用户权限允许的上下文中安装程序、查看、修改或删除数据,或创建新账户。
规避措施
禁用MSDT URL协议的方法
禁用MSDT URL协议将阻止整个操作系统中从故障排除工具链接启动。故障排除工具仍可通过Get Help应用程序、系统设置或其他故障排除工具使用。
禁用步骤如下:
- 以管理员身份运行命令提示符。
- 要备份注册表键,执行命令
reg export HKEYCLASSES_ROOT\ms-msdt 文件名。 - 执行命令
reg delete HKEY_CLASSES_ROOT\ms-msdt /f。
恢复规避措施的方法
- 以管理员身份运行命令提示符。
- 要从备份恢复注册表键,执行命令
reg import 文件名。
Microsoft Defender检测与防护
Microsoft Defender防病毒(MDAV)
Microsoft Defender防病毒在检测版本1.367.851.0及以后,提供以下签名下的漏洞利用检测与防护:
- Trojan:Win32/Mesdetty.A(阻止msdt命令行)
- Trojan:Win32/Mesdetty.B(阻止msdt命令行)
- Behavior:Win32/MesdettyLaunch.A!blk(终止启动msdt的进程命令行)
- Trojan:Win32/MesdettyScript.A(检测包含可疑msdt命令的HTML文件)
- Trojan:Win32/MesdettyScript.B(检测包含可疑msdt命令的HTML文件)
使用Microsoft Defender防病毒(NDAV)的客户应启用云提供的保护和自动样本提交。这些功能使用人工智能和机器学习快速识别和阻止新威胁和未知威胁。
Microsoft Defender for Endpoint(MDE)
Microsoft Defender for Endpoint为客户提供检测和警报。Microsoft 365 Defender门户中的以下警报标题可能指示网络上的威胁活动:
- Suspicious behavior by an Office application
- Suspicious behavior by Msdt.exe
使用Microsoft Defender for Endpoint(MDE)的客户可以启用攻击面减少规则“阻止所有Office应用程序创建子进程”GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a。恶意子进程创建是常见的恶意软件对策。详情请参考“阻止所有Office应用程序创建子进程”。
Microsoft Defender for Office 365(MDO)
Microsoft Defender for Office 365提供检测和保护,防止包含利用此漏洞的恶意文档或URL的电子邮件。
检测签名包括:
- Trojan_DOCX_OLEAnomaly_AC
- Trojan_DOCX_OLEAnomaly_AD
- Trojan_DOCX_OLEAnomaly_AE
- Trojan_DOCX_OLEAnomaly_AF
- Exploit_UIA_CVE_2022_30190
- Exploit_CVE_2022_30190_ShellExec
- Exploit_HTML_CVE_2022_30190_A
- Exploit_Win32_CVE_2022_30190_B
常见问题(FAQ)
问:保护视图和Office Application Guard是否提供此漏洞的防护? 答:如果调用应用程序是Microsoft Office应用程序,默认情况下,Microsoft Office会在保护视图或Office Application Guard中打开从互联网获取的文档,两者都能防止当前攻击。
问:通过GPO设置计算机配置\管理模板\系统\故障排除与诊断\Microsoft支持诊断工具\“Microsoft支持诊断工具:启用MSDT与支持提供商的交互通信”为“禁用”是否是一种规避措施?
注册表配置单元:HKEY_LOCAL_MACHINE
注册表路径:\Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy
值名称:DisableQueryRemoteServer
类型:REG_DWORD
值:0
答:不,此GPO不提供此漏洞的防护。“与支持提供商的交互通信”是MSDT无参数启动时执行的特殊模式,不影响MSDT URL协议支持。
问:通过GPO设置计算机配置\管理模板\系统\故障排除与诊断\Microsoft支持诊断工具\“故障排除:允许用户访问已知问题的推荐故障排除”为“禁用”是否是一种规避措施? 答:不,启用或禁用此组策略不影响故障排除功能的脆弱部分,因此不是规避措施。
问:使用Windows Defender应用程序控制(WDAC)等技术阻止MSDT是否等同于删除MSDT处理程序“HKEY_CLASSES_ROOT\ms-msdt”的规避措施? 答:阻止MSDT会导致所有基于MSDT的Windows故障排除工具(如网络故障排除工具和打印机故障排除工具)无法启动。推荐的规避措施禁用MSDT链接点击支持,用户仍可使用熟悉的Windows故障排除工具。
问:哪些Windows版本需要实施规避措施? 答:MSDT URL协议在Windows Server 2019及Windows 10版本1809及以后的支持版本中可用。更早的支持版本Windows中,规避措施中提到的注册表键不存在,因此无需实施规避措施。
未来,我们将更新CVE-2022-30190并提供更多详细信息。 MSRC团队
更新历史:
- 2022/06/06 – 添加了FAQ。
- 2022/06/07 – 添加了1个FAQ。
- 2022/06/07 – 添加了检测信息。
- 2022/06/14 – 发布了针对漏洞的更新程序。
- 2022/08/12 – 发布了关于defense in depth的更新。