近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個新的 Microsoft Office 零日漏洞，編號 CVE-2022-30190。只需打開 Word 文檔即可通過 Microsoft 診斷工具 (MSDT) 執(zhí)行惡意 PowerShell 命令，也可以運行任意代碼。這也就意味著，攻擊者可以安裝程序、查看、更改或刪除數(shù)據(jù)，或者在用戶權(quán)限允許的上下文中創(chuàng)建新帳戶。

所幸，微軟方面很快有了應(yīng)對措施。5月30日，微軟發(fā)布了相關(guān)的緩解措施，可阻止攻擊者利用該零日漏洞發(fā)起遠程攻擊，具體如下：

其余緩解措施

由于攻擊者使用MSDT URL協(xié)議來啟動故障排除程序并在易受攻擊的系統(tǒng)上執(zhí)行代碼，因此管理員和用戶也可以通過禁用該協(xié)議來規(guī)避CVE-2022-30190零日漏洞帶來的威脅。

具體操作方式如下：

1、以管理員身份運行命令提示符；

2、備份注冊表項，請執(zhí)行命令“reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg”

3、執(zhí)行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”

在微軟發(fā)布CVE-2022-30190漏洞補丁后，用戶也可以通過啟動提升的命令提示符并執(zhí)行 reg import ms-msdt.reg 命令來撤消解決方法（文件名是禁用協(xié)議時創(chuàng)建的注冊表備份的名稱）。

雖然微軟表示 Microsoft Office 的受保護視圖和應(yīng)用程序防護將阻止CVE-2022-30190攻擊，但 CERT/CC 漏洞分析師 Will Dormann發(fā)現(xiàn)，如果目標預(yù)覽惡意文檔還有可能是Windows資源管理器，因此還建議禁用 Windows 資源管理器中的“預(yù)覽”窗格以刪除此攻擊媒介。