【误差通告】Microsoft MSDT恣意代码执行误差（CVE-2022-30190）-人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Microsoft MSDT恣意代码执行误差（CVE-2022-30190）

宣布时间 2022-05-31

0x00 误差概述

CVE ID	CVE-2022-30190	发明时间	2022-05-30
类型	代码执行	等级	高危
远程使用		影响规模
攻击重漂后	低	用户交互	是
PoC/EXP	已果真	在野使用	是

0x01 误差详情

5月30日，，微软宣布清静通告，，披露了 Microsoft MSDT中的恣意代码执行误差（CVE-2022-30190），，该误差的CVSS评分为7.8。。现在该误差已经果真披露，，且已检测到在野使用。。

MSDT（Microsoft Support Diagnostics Tool，，微软支持诊断工具）是一种适用程序，，用于扫除故障并网络诊断数据以供专业职员剖析息争决问题。。

从 Word 等挪用应用程序使用 URL 协议挪用 MSDT 时保存代码执行误差，，乐成使用该误差可以使用挪用应用程序的权限运行恣意代码，，并在用户权限允许的规模内装置程序，，审查、更改或删除数据，，或建设新账户。。误差复现如下：

该误差是隶属于白俄罗斯的IP地点上传到 VirusTotal的恶意Word 文档中检测到的。。恶意文件通过使用 Word 的远程模板功效从效劳器获取 HTML 文件，，然后使用“ms-msdt://”URI 执行 PowerShell 代码。。纵然禁用了宏，，Microsoft Word 也会通过 msdt执行代码。。别的，，当恶意文件生涯为RTF名堂时，，甚至无需翻开文件，，通过资源治理器中的预览选项卡即可在目的系统上执行恣意代码。。

影响规模

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

0x02 清静建议

微软清静响应中心已经宣布了此误差的指南，，受影响用户可以选择禁用MSDT URL协议或应用非官方补丁�。�

禁用MSDT URL协议

禁用 MSDT URL 协议可避免故障扫除程序作为链接启动，，包括整个操作系统的链接。。但仍然可以使用其它方法会见故障扫除程序。。

1.以治理员身份运行下令提醒符。。

2.要备份注册表项，，请执行下令“reg export HKEY_CLASSES_ROOT\ms-msdt filename“。。

3.执行下令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。。

作废：

1.以治理员身份运行下令提醒符。。

2.要恢复备份注册表项，，请执行下令“reg import filename”。。

别的，，Microsoft Defender 防病毒软件使用检测版本1.367.719.0?或更高版本为可能的误差使用提供检测和保�；；；ぃ�；；；Microsoft Defender for Endpoint 为客户提供检测和警报；；；；Microsoft 365 Defender 门户中的以下警报问题可以指示网络上的威胁活动：

l Office 应用程序的可疑行为

l Msdt.exe 的可疑行为

参考链接：

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

非官方补丁

0patch 微补丁效劳主要用于在官方修复可用之前保�；；；は低场�。0patch已经针对此误差为某些Windows版本宣布了免费的微补丁，，但该补丁不会完全禁用MSDT协议处置惩罚程序，，而只是增添了对用户提供的路径的整理。。注重，，要下载此微补丁，，需要注册0patch帐户并装置0patch agent。。该微补丁适用于以下Windows版本：

Windows 11 v21H2

Windows 10 v21H2

Windows 10 v21H1

Windows 10 v20H2

Windows 10 v2004

Windows 10 v1909

Windows 10 v1903

Windows 10 v1809

Windows 10 v1803

Windows 7

Windows Server 2008 R2

下载链接：

https://blog.0patch.com/2022/06/free-micropatches-for-follina-microsoft.html

其它建议

1.建议关闭Windows资源治理器中的预览窗格，，以消除它作为预览恶意文件时可使用的攻击前言。。

2. 若是您使用Microsoft Defender的 Attack Surface Reduction(ASR)规则，，则可在Block模式下激活“阻止所有Office应用程序建设子历程”规则。。若您还没有使用ASR规则，，可先在Audit模式下运行规则，，视察效果以确保不会对系统造成倒运影响。。

注重：研究职员将检测到在野使用的0 day误差标识为Microsoft Office 代码执行0 day误差（称为“Follina”），，该误差影响了Office 2016 和 Office 2021等。。本通告主要参考微软官方通告Microsoft Windows 支持诊断工具 (MSDT) 恣意代码执行误差。。

0x03 参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

0x04 版本信息

版本	日期	修改内容
V1.0	2022-05-31	首次宣布
V2.0	2022-06-02	新增缓解步伐等

0x05 附录

人生就是博简介

人生就是博公司建设于1996年，，并于2010年6月23日在深交所中小板正式挂牌上市，，是海内极具实力的、拥有完全自主知识产权的网络清静产品、可信清静治理平台、清静效劳与解决计划的综合提供商。。

公司总部位于北京市中关村软件园，，在天下各省、市、自治区设有分支机构，，拥有笼罩天下的渠道系统和手艺支持中心，，并在北京、上海、成都、广州、长沙、杭州等多地设有研发中心。。

多年来，，人生就是博致力于提供具有国际竞争力的自主立异的清静产品和最佳实践效劳，，资助客户周全提升其IT基础设施的清静性和生产效能，，为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。。

关于人生就是博

人生就是博清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。。

关注以下公众号，，获取全球最新清静资讯：

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究