Windows傳出重大程式碼執行漏洞 竟可閃躲安全軟體偵測 7周前就遭利用

Windows傳有重大程式碼執行漏洞,讓攻擊者可安裝惡意程式卻不觸發Windows Defender或其他安全產品,所有Windows版本都受影響。

Windows傳有重大程式碼執行漏洞,讓攻擊者可安裝惡意程式卻不觸發Windows Defender或其他安全產品,所有Windows版本都受影響。因為現在還沒有修補程式,微軟也提供緩解指示。

Shadows Chaser Group一名研究人員於4月間通報微軟支援診斷工具(Support Diagnostic Tool,MSDT)漏洞,但微軟安全回應中心團隊不認為是安全漏洞,因為MSDT工具需要密碼才能執行程式。

不過本周一微軟改口了,承認這是漏洞,並給予CVE-2022-30190的編號,同時發出安全公告。

微軟指出,這個漏洞是在Word等應用程式利用URL協定呼叫MSDT觸發的遠端程式碼執行漏洞。成功開採漏洞者可以利用應用程式的權限執行任意程式碼,然後安裝程式、讀取、變更或刪除資料,或是新增有權限的帳號。

目前微軟還未修補該漏洞,建議用戶關閉MSDT URL協定。

目前微軟還未修補該漏洞,建議用戶關閉MSDT URL協定。方法是以「管理員」身份執行命令提示字元,先以「reg export HKEY_CLASSES_ROOT\ms-msdt filename」指令備份機碼,再執行關閉指令: reg delete HKEY_CLASSES_ROOT\ms-msdt /f。

另一名研究人員也在VirusTotal發現一個惡意Word檔案,它會利用Word的外部連結下載HTML,再利用ms-msdt 執行PowerShell程式。

安全專家Kevin Beaumont分析,這個檔案是從遠端伺服器下載HTML檔,然後再用MSDT的MSProtocol URI scheme載入PowerShell指令碼。根據分析,它會啟動隱藏視窗下載惡意的RAR檔案。

一般而言,當用戶點擊來自網路上的Word檔,Word程式開啟時會啟動「受保護的檢視」(protected view),它會關閉巨集或其他惡意功能。但是Beaumont指出,如果將Word檔改成RTF格式時,這個檔案即使在檔案總管也能以預覽方式開啟,因為它是「零點擊」觸發,所以「受保護的檢視」根本保護不了用戶。

基於這項漏洞的嚴重性以及還沒有修補程式,使用Office 的企業組織應提高警覺。關閉MSDT URL協定長期可能會有影響作業,但短期不致有重大損害。在微軟釋出更多細節及指引前,Office 用戶最好將這協定全部關閉,並且留心任何從網路下載的文件。

來源: Ars Technica

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416