近日,網絡安全研究人員發現了一個新的 Microsoft Office 零日漏洞,編號 CVE-2022-30190。只需打開 Word 文檔即可通過 Microsoft 診斷工具 (MSDT) 執行惡意 PowerShell 命令,也可以運行任意代碼。這也就意味着,攻擊者可以安裝程序、查看、更改或刪除數據,或者在用戶權限允許的上下文中創建新帳戶。所幸,微軟方面很快有了應對措施。5月30日,微軟發布了相關的緩解措施,可阻止攻擊者利用該零日漏洞發起遠程攻擊,具體如下:其餘緩解措施由於攻擊者使用MSDT URL協議來啟動故障排除程序並在易受攻擊的系統上執行代碼,因此管理員和用戶也可以通過禁用該協議來規避CVE-2022-30190零日漏洞帶來的威脅。2、備份註冊表項,請執行命令「reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg」3、執行命令「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」在微軟發布CVE-2022-30190漏洞補丁後,用戶也可以通過啟動提升的命令提示符並執行 reg import ms-msdt.reg 命令來撤消解決方法(文件名是禁用協議時創建的註冊表備份的名稱)。雖然微軟表示 Microsoft Office 的受保護視圖和應用程序防護將阻止CVE-2022-30190攻擊,但 CERT/CC 漏洞分析師 Will Dormann發現,如果目標預覽惡意文檔還有可能是Windows資源管理器,因此還建議禁用 Windows 資源管理器中的「預覽」窗格以刪除此攻擊媒介。https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-office-zero-day-exploited-in-attacks/https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
留言列表
留言列表