|
針對已爆發首次攻擊事件的 Office 零時差漏洞,微軟終於分享權宜應急措施 |
作者 Evan | 發布日期 2022 年 06 月 02 日 9:55 | 分類 Microsoft , 網路 , 資訊安全  |
微軟 Office 出現駭客可以遠端執行惡意程式碼的 Zero-Day 零時差漏洞(資安通報編號 CVE-2022-30190),具體而言,它是微軟 Windows 支援診斷工具(Microsoft Windows Support Diagnostic Tool, MSDT)的遠端程式碼執行漏洞。基本上,目前有支援安全更新的所有 Windows 版本(Windows 7 以上、Windows Server 2008 以上)都會受到影響。
儘管該漏洞最早在 4 月間就被發現,而且 1 個月前就曾爆發首起運用該漏洞的惡意攻擊事件,但微軟不僅一開始將該漏洞定調為「並非與安全相關的問題」,而且直到目前為止,仍未有進一步的安全修補程式發布動作。目前微軟唯一的做法就是分享可以緩解可能風險的緊急應變建議措施。
在使用者開啟或預覽 Word 文件時,惡意攻擊者可以運用這個零時差漏洞在所謂的任意程式碼執行的典型攻擊中,經由 MSDT 工具執行惡意 PowerShell 命令。根據微軟的說法,成功運用此一漏洞的攻擊者,可以透過所呼叫 MSDT 工具應用程式的權限來運行任意程式碼。攻擊者接著便能在使用者權限所允許的情境中,安裝程式、檢視/變更或刪除資料,抑或建立帳號。
針對這個零時差漏洞,微軟分享了暫時的權宜做法,由於惡意攻擊者會透過 MSDT URL 協定在有漏洞風險的系統上啟動除錯程式並執行程式碼,所以管理人員與用者只要透過 MSDT URL 協定的禁用,便能阻止運用 CVE-2022-30190 漏洞的攻擊行動。禁用 MSDT URL 協定的具體步驟如下:
- 以管理員權限運行命令指示字元
- 執行「reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg」命令,以備份登錄機碼
- 執行「reg delete HKEY_CLASSES_ROOT\ms-msdt /f」命令。
未來,微軟一旦發布 CVE-2022-30190 漏洞更新修補程式後,使用者就不用再禁用 MSDT URL 協定。使用者可以試著以下步驟重新啟用該協定:
- 一樣以管理員權限運行命令指示字元
- 執行「reg import filename」命令,以便復原登錄機碼。命令中的「filename」,是指前述禁用 MSDT URL 協定中,備份登錄機碼時所取的檔案名稱。
值得一提的是,Microsoft Defender 防毒軟體 1.367.719.0 以上最新版本如今也能偵測到可能的零時差漏洞攻擊行動。雖然微軟表示自家 Office Protected View 及 Application Guard 就能封鎖 CVE-2022-30190 漏洞攻擊。但根據美國電腦網路危機處理中心暨協調中心(CERT/CC)一位分析師指出,如果攻擊目標在 Windows 檔案總管中預覽惡意文件的話,那麼 Office 這兩個安全功能就無法有效封鎖漏洞攻擊。針對這點,使用者務必要關閉 Windows 檔案總管中的預覽窗格。
(首圖來源:Microsoft)
線