瑞星监测到利用微软最新高危漏洞的恶意代码

近日，瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞（CVE-2022-30190，又名"Follina"），目前在开源代码平台上已经存在该漏洞的概念验证代码，同时捕获到相关漏洞的在野利用样本。

瑞星安全专家介绍，该样本为Microsoft Word文档，当用户手动执行后，会下载Qakbot木马程序，从而被盗取隐私信息。目前，瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为，广大用户可安装使用，避免该类威胁。

图：瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为

漏洞概况：

5月30日，微软发布了CVE-2022-30190这一漏洞，并介绍该漏洞存在于 Microsoft Support Diagnostic Tool（即微软支持诊断工具，以下简称 MSDT），攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码，随后安装程序、查看、更改或删除数据，或者创建帐户。

攻击原理：

瑞星安全专家介绍，当用户打开恶意文档后，攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合，由Office从远程网络服务器获取恶意HTML文件，HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码，该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行，从而窃取用户隐私信息。

图：病毒样本相关代码

瑞星安全专家介绍，CVE-2022-30190属于高危漏洞，在宏被禁用的情况下仍然可以正常触发，并且当恶意文档为RTF格式时，还可以通过Windows资源管理器中的预览窗格触发此漏洞的调用。

防范建议：

目前，瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为，同时广大用户也可参考微软官方给出的防护建议，直接禁用MSDT URL协议。

具体操作步骤：

1. 以管理员身份运行命令提示符

2. 备份注册表项，执行命令："reg export HKEY_CLASSES_ROOT\ms-msdt 指定文件名称"

3. 执行命令："reg delete HKEY_CLASSES_ROOT\ms-msdt /f"

如需将该协议恢复使用，可进行如下操作：

1. 以管理员身份运行命令提示符

2. 执行命令："reg import 之前备份时指定的文件名称"

参考资料：

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/