2022年5月31日，國家信息安全漏洞共享平臺（CNVD）收錄了微軟支持診斷工具遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2022-42150，對應(yīng)CVE-2022-30190）。Microsoft Office 是由 Microsoft (微軟)公司開發(fā)的一套辦公軟件套裝。常用組件有 Word、Excel、PowerPoint 等。

? ? 惡意文檔可以調(diào)用應(yīng)用程序使用 URL 協(xié)議調(diào)用 MSDT 時存在遠(yuǎn)程執(zhí)行代碼漏洞。攻擊者可通過惡意 Office 文件中遠(yuǎn)程模板功能從服務(wù)器獲取惡意 HTML 文件，通過 'ms-msdt' URI 來執(zhí)行惡意 PowerShell 代碼。另外，該漏洞在宏被禁用的情況下，仍能通過 MSDT（Microsoft Support Diagnostics Tool）功能執(zhí)行代碼，當(dāng)惡意文件保存為 RTF 格式時，甚至無需打開文件，通過資源管理器中的預(yù)覽選項卡即可在目標(biāo)機器上執(zhí)行任意代碼。成功利用此漏洞的攻擊者可以使用調(diào)用應(yīng)用程序的權(quán)限運行任意代碼。然后，攻擊者可以安裝程序、查看、更改或刪除數(shù)據(jù)，或者在用戶權(quán)限允許的上下文中創(chuàng)建新帳戶。漏洞細(xì)節(jié)已在互聯(lián)網(wǎng)上公開，可能已被在野利用。

? ? 該漏洞CVSS評分：7.8，危害等級：高危

臨時修補建議:禁用 MSDT URL 協(xié)議

1. 以管理員身份運行命令提示符。

2. 備份注冊表項，執(zhí)行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename1 ”

3. 執(zhí)行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

(如何撤消此解決方法:以管理員身份運行命令提示符，執(zhí)行命令“reg import filename1”恢復(fù)注冊表項。)

國家信息安全漏洞庫 (cnnvd.org.cn):http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202205-4277

CVE-2022-30190 - Security Update Guide - Microsoft - Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center:https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/