查看: 1327|回复: 2
收起左侧

[IT业界] 微软 Office 被曝 0 day 漏洞,Windows 支持诊断工具来背锅

[复制链接]
朦胧的风
发表于 2022-6-4 22:10:26 | 显示全部楼层 |阅读模式
IT之家 6 月 4 日消息,有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina,漏洞 CVE 编号为 CVE-2022-30190。

微软已确认该漏洞存在于 Windows 上的微软微软支持诊断工具(Microsoft Support Diagnostic Tool)中,当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。

值得注意的是,这种混淆的代码可以在不打开文档的情况下运行,比如通过 IE 的预览窗口。

攻击者利用该漏洞可以以调用应用的权限运行任意代码,然后安装应用程序、查看、修改和删除数据,甚至创建新的账户等。

IT之家了解到,这一漏洞似乎不局限于 Windows 的版本,只要系统安装了 Microsoft 支持诊断工具就有可能会暴露出来。

微软表示,用户只需禁用 MSDT URL 协议即可避免此漏洞被利用,而且你仍然可以使用 Get Help 应用程序和系统设置中的其他或其他故障排除程序访问故障排除程序。此外,微软还提示用户将杀软 Microsoft Defender 更新至最新版本(1.367.719.0),以检测任何可能的漏洞利用。

禁用 MSDT URL 协议的方法:

●以管理员身份打开命令提示符 CMD。

●备份注册表项,执行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename

●执行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

撤销:

●以管理员身份运行命令提示符。

●要恢复注册表项,请执行命令“reg import filename”

安全研究人员 nao_sec 上个月意外发现一个位于 Belarus 的 IP 地址向 Virus Total 提交的恶意 Word 文档,该文件滥用了微软的 MSDT(ms-msdt)技术。他使用外部链接来加载 HTML,然后使用 ms-msdt 方案来执行 PowerShell 代码。

Kevin Beaumont 发现,这是一个微软 Word 使用 MSDT 执行的命令行字符串,即使在宏脚本被禁用的情况下也可以执行。目前已知受该漏洞影响的版本有 Office 2013、2016、Office Pro Plus 和 Office 2021 等。

实际上,研究人员早在 4 月就将该漏洞报告给了微软,但微软称这并非是一个安全相关的问题,并且关闭了该漏洞报告,声称没有远程代码执行的安全影响,但直到 5 月 30 日微软才对该漏洞分配了 CVE 编号,虽然至今都没有发布关于该漏洞的修复补丁。

49ebf8c2-b1e0-432b-9325-b84e1eb228ac.png
https://www.ithome.com/0/622/347.htm
wwdboy
发表于 2022-6-4 22:41:03 | 显示全部楼层
补补更健康
开心修行者
发表于 2022-6-5 05:52:07 | 显示全部楼层
等补丁,打全部重要、可用更新;
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 15:48 , Processed in 0.127491 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表