5月30日,微软发布安全公告,披露了Microsoft MSDT 中的任意代码执行漏洞(CVE-2022-30190)。目前该漏洞POC已经公开,且已检测到在野利用。该漏洞利用难度较低,预计将会在APT攻击中被广泛利用。
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。从Word等应用程序使用URL协议调用MSDT时存在代码执行漏洞,成功利用该漏洞可以使用调用者的权限运行任意代码,并在用户权限允许的范围内安装程序,查看、更改、删除数据,或创建新账户。
rtf格式样本甚至可以不打开文件,直接在预览视图中触发漏洞。
1、微软官方处置方案
目前微软已发布漏洞缓解措施,暂未发布漏洞补丁。
(1)移除msdt文件类型关联
删除注册表项HKEY_CLASSES_ROOTms-msdt后,office无法启动msdt,从而阻止后续攻击载荷执行。删除前需要手动备份,等待后续补丁更新后恢复。
(2)更新Microsoft Defender
将Microsoft Defender更新至1.367.719.0 或更高版本后可以为漏洞利用提供检测和防护。报警签名如下所示:
Trojan:Win32/Mesdetty.A
Trojan:Win32/Mesdetty.B
Behavior:Win32/MesdettyLaunch.A
Behavior:Win32/MesdettyLaunch.B
Behavior:Win32/MesdettyLaunch.C
官方参考链接:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
2、启明星辰检测方案
(1)对于携带漏洞的恶意Office样本,启明星辰天阗高级持续性威胁检测与管理系统(TAR)的动态检测模块无需升级即可检测相关攻击样本,静态检测模块已添加该漏洞的识别规则。
(2)对于漏洞触发后下载的远程html,启明星辰全线检测产品已支持检测。
规则名:TCP_安全漏洞_office_msdt_远程代码执行漏洞_CVE-2022-30190
