整理 | 郑丽媛
《持发委新闻》(ID:持发委新闻)
所有 Windows 用户都应该知道, 高风险零日脆弱性至少已经存在七个星期了, 有证据表明黑客利用它在用户个人电脑上安装恶意软件“安静地”!
起初微软不以为意
微软支持诊断工具(微软支持诊断工具)存在弱点。 (即微软支持诊断工具(又称MSDT) 早在4月12日就向微软公司报告,并包括了黑客利用缺陷实施袭击的证据,以表明其重要性。
然而微软并不认为这是安全缺陷。据安保反应中心工作人员说在运行有效载荷之前,MSDT需要密码。可上周五,当研究人员Kevin Beaumont发现寄给Thatal病毒的Word文件 感染了未知的攻击媒介时,他说:洞穴又重现了
Kevin Beaumont认为,该文件使用Word从远程网络服务器收集 HTML 文件,然后使用微软 URI 程序装载和执行PowerShell 指令。
这种方法可能看起来不可信,但根据Kevin Beaumont的说法,当对文档中的命令进行解码时,它们转而使用:
约翰哈蒙德,狩猎安全研究员, 检查剧本:
启动隐藏窗口:
一,如果Msdt还在操作,停止它。
在 RR 2 中, 回收文件, 并查找用于编码 CAB 文件的 Base64 字符串 。
(1) 将Base64-encoded CAB文件保存到 1.t。
(2) 代号 Base64 代码 CAB 文件被保存为 1.c 替换为 1.c CAB
(3) 然后将文件扩展至当前目录,然后是:
(4) 运行rgb(可压缩为1.c CAB文件)。
启动隐藏窗口:
一,如果Msdt还在操作,停止它。
在 RR 2 中, 回收文件, 并查找用于编码 CAB 文件的 Base64 字符串 。
(1) 将Base64-encoded CAB文件保存到 1.t。
(2) 代号 Base64 代码 CAB 文件被保存为 1.c 替换为 1.c CAB
(3) 然后将文件扩展至当前目录,然后是:
(4) 运行rgb(可压缩为1.c CAB文件)。
7周后"觉醒"
当使用 URL 协议从应用程序( 如 Word) 中调用 MSDT 时,存在远程执行代码差距。成功利用这个弱点的进攻者 有能力运行任何代码 使用权利 呼叫程序。随后,在其权力范围内,攻击者可以安装软件。查看、修改或删除数据。或创建新帐户。
当使用 URL 协议从应用程序( 如 Word) 中调用 MSDT 时,存在远程执行代码差距。成功利用这个弱点的进攻者 有能力运行任何代码 使用权利 呼叫程序。随后,在其权力范围内,攻击者可以安装软件。查看、修改或删除数据。或创建新帐户。
与披露缺陷、释放修正和要求用户升级的标准程序相反,微软公司在泄漏时没有发出任何补丁,解决办法只是敦促用户禁止MSDT URL协议如下:
1. 以管理员身份启动命令。
2. 执行命令“reg 导出 HKEY_CLASSES_ROOTMS-msdt 文件名” 以备份注册项目 。
三,使用命令"reg 清除HKEY_CLASSES_ROTTMS-MSDT/f"。
鉴于微软公司尚未提供弥补这一差距的类似办法,区别是"高风险"和"高风险"建议微软办公室的所有用户在微软实施进一步保障措施之前定期这样做。确保MSDT URL 协议完全关闭 。根据需要,对从因特网获得的任何文件进行彻底检查。
参考链接:
- https://arstechnica.com/information-technology/2022/05/code-execution-0day-in-windows-has-been-under-active-exploit-for-7-weeks/
苹果反应系统漏水:建议修复工厂, 中国建立第三军团, Tensor Flow 2.
英微大战败后 海托华又看见阿臂了?
如何使用松散的麻省理工学院执照来进行来自技术档案的Egg.js“复制权冲突”?
"分享","精彩","观看"
成就一亿技术人