关于CVE-2022-30190微软支持诊断工具漏洞的指南
更新日期:2022年7月12日
作为微软响应措施的一部分,已在Windows 7月累积更新中发现并修复了一个深度防御变体。微软建议尽快安装7月更新。
| Windows版本 | KB文章链接 | 目录链接 |
|---|---|---|
| Windows 8.1, Windows Server 2012 R2 | 5015805 | 下载 |
| Windows Server 2012 | 5015805 | 下载 |
| Windows 7, Windows Server 2008 R2 | 5015805 | 下载 |
| Windows Server 2008 SP2 | 5015805 | 下载 |
2022年5月30日,微软发布了关于Windows中Microsoft支持诊断工具(MSDT)漏洞的CVE-2022-30190。2022年6月14日,微软发布了Windows更新以解决此漏洞。微软建议根据下表为Windows 8.1及以下版本安装以下KB5015805。深度防御修复已纳入Windows 10及更新版本的累积更新中。
当使用URL协议从调用应用程序(如Word)调用MSDT时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以以调用应用程序的权限运行任意代码。攻击者然后可以安装程序、查看、更改或删除数据,或在用户权限允许的上下文中创建新帐户。
临时解决方案
禁用MSDT URL协议
禁用MSDT URL协议可防止故障排除程序作为链接启动,包括整个操作系统中的链接。故障排除程序仍可通过获取帮助应用程序和系统设置中的其他或附加故障排除程序访问。按照以下步骤禁用:
- 以管理员身份运行命令提示符。
- 要备份注册表项,执行命令“reg export HKEYCLASSES_ROOT\ms-msdt filename”。
- 执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
如何撤销临时解决方案
- 以管理员身份运行命令提示符。
- 要恢复注册表项,执行命令“reg import filename”。
Microsoft Defender检测与防护
Microsoft Defender防病毒(MDAV)
Microsoft Defender防病毒使用检测版本1.367.851.0或更高版本提供以下签名的可能漏洞利用检测和防护:
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Behavior:Win32/MesdettyLaunch.A!blk
- Trojan:Win32/MesdettyScript.A
- Trojan:Win32/MesdettyScript.B
- Behavior:Win32/MesdettyPayload.B
- Behavior:Win32/MesdettyLaunch.D
拥有Microsoft Defender防病毒(MDAV)的客户应开启云提供的保护和自动样本提交。这些功能使用人工智能和机器学习快速识别和阻止新的未知威胁。
Microsoft Defender for Endpoint(MDE)
Microsoft Defender for Endpoint为客户提供检测和警报。Microsoft 365 Defender门户中的以下警报标题可能指示网络上的威胁活动:
- Office应用程序的可疑行为
- Msdt.exe的可疑行为
Microsoft Defender for Endpoint通过其网络检查功能创建了基于网络的检测,以拦截内部网络上任何可能的此漏洞利用。
- CVE-2022-30190的可能利用尝试
Microsoft Defender for Office 365(MDO)
Microsoft Defender for Office 365为包含用于利用此漏洞的恶意文档或URL的电子邮件提供检测和防护:
- Trojan_DOCX_OLEAnomaly_AC
- Trojan_DOCX_OLEAnomaly_AD
- Trojan_DOCX_OLEAnomaly_AE
- Trojan_DOCX_OLEAnomaly_AF
- Exploit_UIA_CVE_2022_30190
- Exploit_CVE_2022_30190_ShellExec
- Exploit_HTML_CVE_2022_30190_A
- Exploit_Win32_CVE_2022_30190_B
常见问题解答
问:受保护的视图和Office的应用程序防护是否提供针对此漏洞的保护?
答:如果调用应用程序是Microsoft Office应用程序,默认情况下,Microsoft Office在受保护的视图或Office的应用程序防护中打开来自互联网的文档,两者都阻止了当前攻击。
有关受保护的视图的信息,请参阅什么是受保护的视图?
有关Office的应用程序防护的信息,请参阅Office的应用程序防护。
问:配置GPO设置计算机配置\管理模板\系统\故障排除和诊断\Microsoft支持诊断工具\“Microsoft支持诊断工具:开启MSDT与支持提供商的交互通信”为“禁用”是另一个临时解决方案吗?
注册表配置单元:HKEY_LOCAL_MACHINE 注册表路径:\Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\ 值名称:DisableQueryRemoteServer 类型:REG_DWORD 值:0
答:不,此GPO不提供针对此漏洞的保护。“与支持提供商的交互通信”是MSDT在无参数启动时运行的特殊模式,对MSDT对URL协议的支持没有影响。
问:配置GPO设置计算机配置 - 管理模板 - 系统 - 故障排除和诊断 - Microsoft支持诊断工具\“故障排除:允许用户访问已知问题的推荐故障排除”为“禁用”是另一个临时解决方案吗?
答:不,启用或禁用此组策略对故障排除程序功能的易受攻击部分没有影响,因此不是可行的临时解决方案。
问:使用Windows Defender应用程序控制(WDAC)等技术阻止MSDT是否等同于删除MSDT处理程序“HKEY_CLASSES_ROOT\ms-msdt”是一个可行的临时解决方案?
答:阻止MSDT将阻止所有基于MSDT的Windows故障排除程序启动,例如网络故障排除程序和打印机故障排除程序。推荐的临时解决方案禁用对点击MSDT链接的支持,用户可以继续使用熟悉的Windows故障排除程序。
问:哪些Windows版本需要临时解决方案?
答:MSDT URL协议在Windows Server 2019和Windows 10版本1809及更高版本的受支持Windows中可用。临时解决方案部分中提到的注册表项在早期受支持的Windows版本中不存在,因此不需要临时解决方案。
我们将使用更多信息更新CVE-2022-30190。
MSRC团队
修订:
2022年6月6日 - 添加了更多常见问题解答。
2022年6月7日 - 添加了一个问题和答案。
2022年6月7日 - 添加了额外的检测信息。
2022年6月14日 - 宣布了解决漏洞的更新。
2022年7月12日 - 宣布了深度防御更新的可用性。