近日,安天CERT监测到一个新型Microsoft Office远程代码执行漏洞(CVE-2022-30190)clashofstats中文下载clash手镯真假,目前在开源代码平台已存在该漏洞的验证代码。攻击者可利用恶意Office文件中的远程模板功能从远程网络服务器获取恶意HTML文件,通过微软支持诊断工具(Microsoft Support Diagnostic Toolclashofstats中文下载!,MSDT)执行恶意PowerShell代码。并且当恶意文件另存为RTF格式时,还可以通过Windows资源管理器中的预览窗格触发此漏洞的调用,无需执行也可以在目标机器上执行任意代码clash手镯真假。
该漏洞影响范围非常广泛,目前官方未发布修复补丁,建议安天智甲用户尽快升级终端防病毒软件,其他用户请参见章节4进行防范。安天智甲终端防御系统(IEP)可以实现对此漏洞的有效防御。
经过验证,安天智甲终端防御系统可以对利用该漏洞的攻击行为进行有效防御。智甲可实时监控本地进程启动行为,针对该漏洞,智甲监控到Office启动msdt.exe程序后,会自动采集该行为执行参数,并判断该参数是否与漏洞利用特征相匹配,如果匹配会立即阻止msdt.exe的启动行为,并且会将告警信息上报管理中心供安全运维人员查看clashofstats中文下载。
安天智甲终端防御系统可为管理人员提供统一管理中心,会对安全事件的详细信息进行展示,包括资产信息、文件信息如何用clash上国际抖音、事件详情、处置结果等。安全运维人员使用管理中心可以实现对网内安全事件的集中查看、分析和处置,而无需在用户终端操作,极大地提高安全运维工作的效率。
目前难以全面统计该漏洞影响的Office版本,微软官方尚公布该漏洞波及的具体范围。经安天CERT分析人员验证clashofstats中文下载,确认受该漏洞影响的版本如下:
用户可通过查看Microsoft Office父进程下是否创建msdt.exe子进程,以判断文档是否包含该漏洞。
截止本报告发布时,安天CERT分析人员尚未发现微软对该漏洞发布相应补丁,建议参考微软官方给出的防护建议:禁用MSDT URL协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。具体操作步骤如下:
2. 备份注册表项后,执行命令:“reg import 指定文件名称”。
受本次漏洞影响的Office版本目前不便统计,且暂无官方补丁,由此判断:该漏洞后续被利用的可能性较大。鉴于本次漏洞影响十分广泛且危害较大,安天CERT给出下列建议:
