奇安信CERT
致力於第一時間為企業級用戶提供安全風險通告和有效解決方案。
安全通告
代碼執行
漏洞描述
Word等應用程序使用 URL 協議調用 MSDT 時存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以使用調用應用程序的權限運行任意代碼。攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶。
影響版本
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
不受影響版本
暫無
其他受影響組件
暫無
奇安信紅雨滴團隊已成功復現Microsoft Windows 支持診斷工具(MSDT)遠程代碼執行漏洞,復現截圖如下:
風險等級
奇安信 CERT風險評級為:高危
風險等級:藍色(一般事件)
威脅評估
攻擊者可通過惡意Office文件中遠程模板功能從服務器獲取惡意HTML文件,通過 'ms-msdt' URI來執行任意代碼。
處置建議
用戶可通過執行以下緩解方案避免受該漏洞影響:
1、以管理員身份運行命令提示符。
2、要備份註冊表項,請執行命令"reg import filename"。
產品解決方案
奇安信天擎終端安全管理系統
奇安信天擎終端安全管理系統解決方案:目前針對Microsoft Office代碼執行漏洞,V6和V10版本均支持檢測與攔截。
一、針對漏洞攻擊行為天擎V10/V6均已支持攔截
針對可以連接互聯網的終端,請連接到「奇安信公有雲鑑定中心」。
進入天擎控制台將「雲查模式」修改為「直接連接公有雲鑑定中心」即可實現對該漏洞的攔截。
1、天擎V10關鍵防護設置
直接連接公有雲配置:
2、天擎V6關鍵防護設置
直接連接公有雲配置:
3、攔截效果
天擎V10攔截效果
天擎V6攔截效果
二、天擎EDR支持對漏洞攻擊的多階段行為檢測與攔截
天擎EDR可以實現對該漏洞攻擊多階段的行為檢測與告警。
第一階段,office進程加載遠程模板的檢測
觸發漏洞後,「winword.exe」進程加載遠程模版,執行攻擊者設置的任意命令,天擎EDR可精準獲取到「winword.exe」進程加載遠程模版的遠程服務器地址。
第二階段,office進程創建msdt.exe的檢測與攔截。
1、天擎EDR在雲安全體系防護下,識別並攔截「winword.exe」啟動「msdt.exe」執行代碼的行為。實現在攻擊發起的早期階段對攻擊行為精準的阻斷。
2、對於未開啟雲安全的場景,EDR可對「winword.exe」啟動「msdt.exe」執行代碼的行為產生告警,用戶可以通過「響應」工具進行操作,手動對威脅進行處置。
威脅追蹤分析
可以使用「威脅追蹤」分析工具,選擇「無文件腳本執行」事件,使用如下查詢語句檢查是否有請求遠程模版的對該漏洞進行分析:
參考資料
[1]https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
[2]https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
[3]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
[4]https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
時間線
2022年5月31日,奇安信CERT發布安全風險通告。
到奇安信NOX-安全監測平台查詢更多漏洞詳情
留言列表