1 漏洞描述
MSDT(微软支持诊断工具)是排除故障和收集诊断数据的实用技术,用于专业分析和问题解决方案。
微软办公室是微软公司制作的一套办公软件,主要组成部分包括Word、Excel和PowerPoint。
2022年5月30日微软在微软MSDT中公布了远程代码实施问题的紧急安全警报。不明身份的袭击者利用了这一漏洞。促使用户立即查阅或预览办公室有害文件,通过被感染的 Office 文件的远程模板功能,从服务器获取含有恶意代码的 HTML 文件并执行 。这使得攻击可以用任何代码进行,只要该代码可以使用当前用户的特权。
众所周知,违规行为允许用户直接查阅恶意办公室文件。如果宏被禁用, 错误仍然可以使用 Microsoft 支持诊断工具( MSDT) 常规运行代码 。当恶意文件以RTF格式存储时,就会被感染。无需打开文件,您可以使用资源管理中的预览标签在目标计算机上运行任何代码。
有了这种脆弱性,攻击者就可以远程执行守则,现在守则是公开的,在外地。
2 影响版本
Windows Server 2012 R2 (Server Coreinstallation)
Windows Server 2012 R2
Windows Server 2012 (Server Coreinstallation)
Windows Server 2012
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 for x64-basedSystems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-basedSystems Service Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems ServicePack 1
Windows 7 for 32-bit Systems ServicePack 1
Windows Server 2016 (Server Coreinstallation)
Windows Server 2016
Windows 10 Version 1607 for x64-basedSystems
Windows 10 Version 1607 for 32-bitSystems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-basedSystems
Windows 10 Version 21H2 for ARM64-basedSystems
Windows 10 Version 21H2 for 32-bitSystems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (ServerCore Installation)
Windows 10 Version 20H2 for ARM64-basedSystems
Windows 10 Version 20H2 for 32-bitSystems
Windows 10 Version 20H2 for x64-basedSystems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bitSystems
Windows 10 Version 21H1 for ARM64-basedSystems
Windows 10 Version 21H1 for x64-basedSystems
Windows Server 2019 (Server Coreinstallation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-basedSystems
Windows 10 Version 1809 for x64-basedSystems
Windows 10 Version 1809 for 32-bitSystems
3 漏洞标签
0天:发现(也许未报告),
1天:正式发出通知,说明POC、EXP在一至三天内未公布的相关补丁中存在的差距或差距。
NDY:长期报告的溢漏不那么危险。
POC: (概念说明) 碎块校验法,以确定目标是否有匹配的孔。
一旦执行,EXP(剥削)利用代码攻击目标。
4 漏洞评级
1. 四个CVSS分数
CVSS 矢量4.2
CVSS(共同脆弱性计分系统、共同差距评估技术)是一个脆弱性评分系统。最广泛使用的开放行业标准之一是由全国艾滋病理事会发布并由FITST维护的开放行业标准。在标准化、标准化和统一术语中,协助安保从业人员确定计算机系统中安全漏洞的重要性。CVSS方法对所有孔使用0至10的尺度。其中,10.0是最大的安全风险。
AVSS得分为0至3.9,表明风险低。它只能在当地环境中使用,必须经过核证。成功的攻击者很少或根本无法不受控制地获取信息,无法破坏或损害数据,也无法造成系统混乱。其中包括默认或显然是SNMP社区名称,以及OpenSSL PPRNG内部查明的问题。
在出现风险时,可能由中层入侵经历的人使用,不一定需要认证。 成功的攻击者可以部分接触受限制的信息,删除某些信息,并在网络中禁用特定的目标系统。
启用匿名 FTP 写入和一个薄弱的局域网管理器 hash 。高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险、高危险可被轻易访问利用,且几乎不需要认证。成功的攻击者可以获取机密信息,销毁或删除数据,破坏系统。例如,可以使用Windows密码政策的匿名用户也包括在内。
5 漏洞验证
5.1 漏洞环境
Windows10是测试系统环境。
5.2 审定程序和调查结果
检查目标终端是否有问题 。
6 解决方案
微软公司提供了减少漏泄技术,但没有漏泄补救办法。
建议谨慎地查阅未命名的办公室文件,同时按照所附的微软通知及时安装泄漏的临时缓解步骤,并定期监测随后的补丁更新情况。
Microsoft Defence at 1.367.719.另一方面,找到解决办法不可行,但不可能找到解决办法。微软端点保护软件使用户能够识别和提醒用户;微软365
维权者门户网站上的以下警告负责人可以检测到互联网威胁:可疑的办公室申请行为、可疑的Msdt行为。
微软漏洞缓解指南:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-3019
0-microsoft-support-diagnostic-tool-vulnerability/
方法一:关闭MSDT URL
禁用 MSDT URL 协议, 该协议防止从启动时开始将故障排除应用程序作为链接, 包括连接到完整操作系统的链接。 在系统设置中, 仍然可以通过“ 获取援助” 应用程序和其他或额外的故障排除程序访问故障排除器 。
一. 作为管理员执行命令提示。
二. 为备份登记项目,使用“reg export HHAY_CLASSES_ROOTMS-MSDT 文件名”
三号命令“reg move HKEY_CLASSES_ROOTMS-msdt/f”被执行。
用户可通过采取下列缓解措施,防止受到这一差距的影响:
方法二:进一步的安全建议:
一. 在离开办公室预览版面后,在从未知路径下载文件时要谨慎。
二. 最近,委员会获悉,对背景不明的文件,应优先使用WPS。
三、如果你们的环境采用微软维权者攻击地面改革原则,以启用在块模式中“ 关闭全部 Office 应用程序创建子进程” 的规则如果你还没有使用ASR规则您可以在审计模式下首先执行规则 。并监视其结果,保证消费者不受不利影响;
四. 删除 ms-msdt 文件关联 。HKCR:ms-msdt被发现并从Windows注册处删除。当你打开感染文件时办公室无法联系ms-msdt。这就是为什么我们必须防止使用危险的软件。应当指出,在执行这一缓解计划之前,请备份您的登记表格式设置 。