驗證Microsoft CVE-2022-30190漏洞執行方式

最新消息與洞察

NEITHNET 資安實驗室

  近期由研究人員nao_sec所提出的「Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability (CVE-2022-30190)」,關於微軟支援診斷工具(Microsoft Support Diagnostic Tool, MSDT) 遠端程式碼執行(Remote code execution, RCE)漏洞,nao_sec在VirusTotal上發現了一個可疑檔案[註1],如nao_sec在twitter上所展示的該可疑檔案包含一個外部連結會載入HTML檔案,然後以Microsoft私有協定「ms-msdt」(如圖一)載入一段程式碼,進而觸發PowerShell執行。

圖一:可於Registry中找到ms-msdt

  我們可在Microsoft 技術文件找到「ms-msdt[註2]」更進一步的資訊(如圖二),如nao_sec所描述的一段程式碼敘述/id PCWDiagnostic,在Microsoft 技術文件的說明如下「Helps the user configure older programs so that they can run in the current version of Windows.」,PCWDiagnostic所對應的路徑如圖三。在比對nao_sec所提出的示例中,經NEITHNET研究人員分析測試,可透過部分參數傳遞來達到運行惡意程式碼。

圖二:Microsoft 技術文件 msdt
圖三:PCWDiagnostic所對應位置

  在Microsoft 技術文件「Writing a Troubleshooting Manifest[註3]」中提及了Troubleshooting Manifest的相關操作細節,透過ms-msdt傳遞參數會造成程式碼逃逸後由Powershell執行,NEITHNET研究人員測試利用此漏洞可順利執行小算盤 (如圖四)。

圖四:執行結果圖

  而NEITHNET針對漏洞利用對客戶的危害持續不斷的追蹤,針對可疑的釣魚網站與C2C網路活動威脅,推出了NEITHDNS解決方案防止客戶端由於釣魚郵件的可疑連結或工作用通訊軟體偽裝帳號傳送的惡意檔案,能夠有效阻止端點用戶誤觸連結而造成的損害。而關於漏洞除了對檔案的掃瞄與惡意行為皆有監控,採用NEITHSeeker(MDR)能更安全的守護使用者端點安全,讓企業免於日益增多的網際網路攻擊,而擔心「駭」怕。

註1:https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection

註2:https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

註3:https://docs.microsoft.com/zh-cn/previous-versions/windows/desktop/wintt/writing-the-troubleshooting-manifest

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。