瑞星卡卡安全论坛
首页
»
技术交流区
»
反病毒/反流氓软件论坛
»
瑞星监测到利用微软最新高危漏洞的恶意代码
麦青儿 - 2022-6-9 16:26:00
近日,瑞星威胁情报平台监测到一个新型微软支持诊断工具远程代码执行漏洞(CVE-2022-30190,又名"Follina"),目前在开源代码平台上已经存在该漏洞的概念验证代码,同时捕获到相关漏洞的在野利用样本。
瑞星安全专家介绍,该样本为Microsoft Word文档,当用户手动执行后,会下载Qakbot木马程序,从而被盗取隐私信息。目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,广大用户可安装使用,避免该类威胁。
图:瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为
麦青儿 - 2022-6-9 16:27:00
漏洞概况:
5月30日,微软发布了CVE-2022-30190这一漏洞,并介绍该漏洞存在于 Microsoft Support Diagnostic Tool(即微软支持诊断工具,以下简称 MSDT),攻击者可以利用该漏洞调用MSDT工具应用程序运行任意PowerShell代码,随后安装程序、查看、更改或删除数据,或者创建帐户。
攻击原理:
瑞星安全专家介绍,当用户打开恶意文档后,攻击者便可利用CVE-2022-30190漏洞与Microsoft Office的远程模板加载功能进行配合,由Office从远程网络服务器获取恶意HTML文件,HTML文件则会唤起MSDT工具应用程序并由其执行恶意PowerShell代码,该恶意代码将会在用户主机上从指定链接中下载Qakbot木马并执行,从而窃取用户隐私信息。
图:病毒样本相关代码
瑞星安全专家介绍,CVE-2022-30190属于高危漏洞,在宏被禁用的情况下仍然可以正常触发,并且当恶意文档为RTF格式时,还可以通过Windows
资源管理器中的预览窗格触发此漏洞的调用。
麦青儿 - 2022-6-9 16:27:00
防范建议:
目前,瑞星ESM防病毒终端安全防护系统可拦截相关漏洞利用行为,同时广大用户也可参考微软官方给出的防护建议,直接禁用MSDT URL协议。
具体操作步骤:
以管理员身份运行命令提示符
备份注册表项,执行命令:"reg export HKEY_CLASSES_ROOT\ms-msdt 指定文件名称"
执行命令:"reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
如需将该协议恢复使用,可进行如下操作:
以管理员身份运行命令提示符
执行命令:"reg import 之前备份时指定的文件名称"
参考资料:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
救命稻草4 - 2022-6-9 16:58:00
这个怎么设置能拦截?文件监控就能拦截吗
麦青儿 - 2022-6-9 17:43:00
已发现的样本,ESM默认设置下就能拦
天月来了 - 2022-6-10 8:14:00
一个文档都能执行起来,这就麻烦了
1
查看完整版本:
瑞星监测到利用微软最新高危漏洞的恶意代码
© 2000 - 2024 Rising Corp. Ltd.