微软office出现黑客可以远程执行恶意程序代码的zero-day零时差漏洞(安全通报编号cve-2022-30190),具体而言,它是微软windows支持诊断工具(microsoft windows support diagnostic tool, msdt)的远程程序代码执行漏洞。基本上,目前有支持安全更新的所有windows版本(windows 7以上、windows server 2008以上)都会受到影响。
尽管该漏洞最早在4月间就被发现,而且1个月前就曾爆发首起运用该漏洞的恶意攻击事件,但微软不仅一开始将该漏洞定调为“并非与安全相关的问题”,而且直到目前为止,仍没有进一步的安全修补程序发布动作。目前微软唯一的做法就是分享可以缓解可能风险的紧急应变建议措施。
在用户打开或预览word文件时,恶意攻击者可以运用这个零时差漏洞在所谓的任意程序代码执行的典型攻击中,经由msdt工具执行恶意powershell命令。根据微软的说法,成功运用该漏洞的攻击者,可以通过所调用msdt工具应用程序的权限来运行任意程序代码。攻击者接着便能在用户权限所允许的场景中,安装程序、查看/变更或删除资料,抑或创建账号。
针对这个零时差漏洞,微软分享了暂时的权宜做法,由于恶意攻击者会通过msdt url协议在有漏洞风险的系统上启动调试程序并执行程序代码,所以管理人员与用者只要通过msdt url协议的禁用,便能阻止运用cve-2022-30190漏洞的攻击行动。禁用msdt url协议的具体步骤如下:
- 以管理员权限运行命令指示字符
- 执行“reg export hkey_classes_root\ms-msdt ms-msdt.reg”命令,以备份登录机码
- 执行“reg delete hkey_classes_root\ms-msdt /f”命令。
未来,微软一旦发布cve-2022-30190漏洞更新修补程序后,用户就不用再禁用msdt url协议。用户可以试着以下步骤重新激活该协议:
- 一样以管理员权限运行命令指示字符
- 执行“reg importfilename”命令,以便恢复登录机码。命令中的“filename”,是指前述禁用msdt url协议中,备份登录机码时所取的文件名称。
值得一提的是,microsoft defender杀毒软件1.367.719.0以上最新版本如今也能侦测到可能的零时差漏洞攻击行动。虽然微软表示自家office protected view及application guard就能封锁cve-2022-30190漏洞攻击。但根据美国计算机网络危机处理中心暨协调中心(cert/cc)一位分析师指出,如果攻击目标在windows文件总管中预览恶意文件的话,那么office这两个安全功能就无法有效封锁漏洞攻击。针对这点,用户务必要关闭windows文件总管中的预览窗格。
(首图来源:microsoft)