吳明宜Windows 傳有重大程式碼執行漏洞,讓攻擊者可安裝惡意程式卻不觸發 Windows Defender 或其他安全產品,所有 Windows 版本都受影響。因為現在還沒有修補程式,微軟也提供緩解指示。
Shadows Chaser Group 一名研究人員於 4 月間通報微軟支援診斷工具 (Support Diagnostic Tool,MSDT) 漏洞,但微軟安全回應中心團隊不認為是安全漏洞,因為 MSDT 工具需要密碼才能執行程式。
不過本周一微軟改口了,承認這是漏洞,並給予 CVE-2022-30190 的編號,同時發出安全公告。
微軟指出,這個漏洞是在 Word 等應用程式利用 URL 協定呼叫 MSDT 觸發的遠端程式碼執行漏洞。成功開採漏洞者可以利用應用程式的權限執行任意程式碼,然後安裝程式、讀取、變更或刪除資料,或是新增有權限的帳號。
目前微軟還未修補該漏洞,建議用戶關閉 MSDT URL 協定。
目前微軟還未修補該漏洞,建議用戶關閉 MSDT URL 協定。方法是以「管理員」身份執行命令提示字元,先以「reg export HKEY_CLASSES_ROOT\ms-msdt filename」指令備份機碼,再執行關閉指令: reg delete HKEY_CLASSES_ROOT\ms-msdt /f 。
另一名研究人員也在 VirusTotal 發現一個惡意 Word 檔案,它會利用 Word 的外部連結下載 HTML,再利用 ms-msdt 執行 PowerShell 程式。
安全專家 Kevin Beaumont 分析,這個檔案是從遠端伺服器下載 HTML 檔,然後再用 MSDT 的 MSProtocol URI scheme 載入 PowerShell 指令碼。根據分析,它會啟動隱藏視窗下載惡意的 RAR 檔案。
一般而言,當用戶點擊來自網路上的 Word 檔,Word 程式開啟時會啟動「受保護的檢視」(protected view),它會關閉巨集或其他惡意功能。但是 Beaumont 指出,如果將 Word 檔改成 RTF 格式時,這個檔案即使在檔案總管也能以預覽方式開啟,因為它是「零點擊」觸發,所以「受保護的檢視」根本保護不了用戶。
基於這項漏洞的嚴重性以及還沒有修補程式,使用 Office 的企業組織應提高警覺。關閉 MSDT URL 協定長期可能會有影響作業,但短期不致有重大損害。在微軟釋出更多細節及指引前,Office 用戶最好將這協定全部關閉,並且留心任何從網路下載的文件。
來源: Ars Technica