近日,瑞星威脅情報平臺監測到一個新型微軟支持診斷工具遠程代碼執行漏洞(CVE-2022-30190,又名"Follina"),目前在開源代碼平臺上已經存在該漏洞的概念驗證代碼,同時捕獲到相關漏洞的在野利用樣本。
瑞星安全專家介紹,該樣本為Microsoft Word文檔,當用戶手動執行后,會下載Qakbot木馬程序,從而被盜取隱私信息。目前,瑞星ESM防病毒終端安全防護系統可攔截相關漏洞利用行為,廣大用戶可安裝使用,避免該類威脅。
圖:瑞星ESM防病毒終端安全防護系統可攔截相關漏洞利用行為
漏洞概況:
5月30日,微軟發布了CVE-2022-30190這一漏洞,并介紹該漏洞存在于 Microsoft Support Diagnostic Tool(即微軟支持診斷工具,以下簡稱 MSDT),攻擊者可以利用該漏洞調用MSDT工具應用程序運行任意PowerShell代碼,隨后安裝程序、查看、更改或刪除數據,或者創建帳戶。
攻擊原理:
瑞星安全專家介紹,當用戶打開惡意文檔后,攻擊者便可利用CVE-2022-30190漏洞與Microsoft Office的遠程模板加載功能進行配合,由Office從遠程網絡服務器獲取惡意HTML文件,HTML文件則會喚起MSDT工具應用程序并由其執行惡意PowerShell代碼,該惡意代碼將會在用戶主機上從指定鏈接中下載Qakbot木馬并執行,從而竊取用戶隱私信息。
圖:病毒樣本相關代碼
瑞星安全專家介紹,CVE-2022-30190屬于高危漏洞,在宏被禁用的情況下仍然可以正常觸發,并且當惡意文檔為RTF格式時,還可以通過Windows資源管理器中的預覽窗格觸發此漏洞的調用。
防范建議:
目前,瑞星ESM防病毒終端安全防護系統可攔截相關漏洞利用行為,同時廣大用戶也可參考微軟官方給出的防護建議,直接禁用MSDT URL協議。
具體操作步驟:
1. 以管理員身份運行命令提示符
2. 備份注冊表項,執行命令:"reg export HKEY_CLASSES_ROOT\ms-msdt 指定文件名稱"
3. 執行命令:"reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
如需將該協議恢復使用,可進行如下操作:
1. 以管理員身份運行命令提示符
2. 執行命令:"reg import 之前備份時指定的文件名稱"
