近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。
瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。
图:瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为
漏洞概况:
5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。
攻击原理:
瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。
图:病毒样本相关代码
瑞星安全专家介绍,CVE-2022-30190属于高危漏洞,在宏被禁用的情况下仍然可以正常触发,并且当恶意文档为RTF格式时,还可以通过Windows资源管理器中的预览窗格触发此漏洞的调用。
防范建议:
目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,同时广大用户也可参考微软官方给出的防护建议,直接禁用MSDT URL协议。
具体操作步骤:
1. 以管理员身份运行命令提示符
2. 备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\ms-msdt 指定文件名称"
3. 执行命令:"reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
如需将该协议恢复使用,可进行如下操作:
1. 以管理员身份运行命令提示符
2. 执行命令:"reg import 之前备份时指定的文件名称"
参考资料:
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面