微軟在其 Windows 診斷工具中發布 RCE 漏洞利用警告
如果您曾就 Windows 系統或 Windows Server 的任何問題直接聯繫過 Microsoft 支持,系統可能會提示您使用 Microsoft 支持診斷工具 (MSDT)。您可以通過在 Windows 運行 (Win + R) 中鍵入 msdt 來打開它,然後系統會提示您輸入支持代表提供的訪問密鑰。輸入此信息後,您將能夠運行一些診斷並將結果直接發送給 Microsoft 以進行進一步分析。
但是,微軟現在已經發布了關於 MSDT 中存在的遠程代碼執行漏洞 (RCE) 的警告。
有問題的問題正在被跟踪為 CVE-2022-30190,並且嚴重性很高。雖然微軟沒有詳細說明——可能是因為該漏洞尚未修復——但它確實解釋了當使用 URL 協議從 Microsoft Word 等調用應用程序調用 MSDT 時可能會發生 RCE。
攻擊者將能夠運行任意代碼,這些代碼可以使用調用應用程序的權限查看、刪除或修改您的文件。因此,例如,如果通過以管理員權限運行的 Microsoft Word 調用 MSDT,則攻擊者將獲得相同的管理員權限,這顯然是不好的。
目前,Microsoft 建議使用以下命令禁用 MSDT,您可以從命令提示符運行這些命令:
- 以管理員身份運行命令提示符
- 要備份註冊表項,請運行“reg export HKEY_CLASSES_ROOT\ms-msdt filename”命令。
- 運行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”
但是,如果您後來發現您更願意冒險,因為 MSDT 對您的工作流程至關重要,您可以按照以下過程逆轉解決方法:
- 以管理員身份運行命令提示符。
- 要備份註冊表項,請運行“reg import filename”命令。
目前,微軟仍在努力修復。強調該安全漏洞是在現實環境中利用的,因此啟用基於雲的保護和通過 Microsoft Defender 自動提交樣本非常重要。同時,Microsoft Defender Endpoint 客戶端還應配置策略以減少來自 Office 應用程序子進程的攻擊面。
發佈留言