[CVE-2022-30190]MICROSOFT OFFICE MSDT代码执行漏洞

最新推荐文章于 2024-04-18 17:45:00 发布
最新推荐文章于 2024-04-18 17:45:00 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 漏洞分析 文章标签: microsoft 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42353842/article/details/125079226
版权

MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。

Shadow Chaser Group 的研究人员在 Twitter 上表示,这个存在于Microsoft Support Diagnostic Tool中的漏洞已经于4月 12日报告给微软,并已经证明该漏洞已经被黑客利用进行攻击,不过微软安全响应中心团队并未将报告的行为视为安全漏洞。

 根据研究员 Kevin Beaumont 的分析,该文档使用Word从远程Web服务器检索HTML文件。然后,该文档使用MSProtocol URI方案来加载和执行PowerShell命令。目前微软已经将该漏洞标识为 CVE-2022-30190,并将其描述为“关键”(critical)漏洞。

影响版本:

  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows RT 8.1
  • Windows 8.1 for x64-based systems
  • Windows 8.1 for 32-bit systems
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2016
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems

目前,漏洞POC已公开:

https://github.com/onecloudemoji/CVE-2022-30190

由于尚没有修补程序,删除ms-msdt或许是更好的办法。

Microsoft Office Word 远程命令执行漏洞(CVE-2022-30190)分析与利用
不忘初心,护天下安全!
06-24 1383
CVE-2022-30190漏洞2022年5月27日,由nao_sec发现了一个从白俄罗斯IP上传到VirusTotal的恶意Word文档。该文档使用 Microsoft Word 远程模板功能链接恶意 HTML 文件,Winword.exe 程序处理该恶意 HTML 文件中的 js 代码时发现其中使用”ms-msdt”协议的 URL, 随即启动 msdt.exe 程序(Microsoft Support Diagnostics Tool)处理该 URL,导致内嵌在 URL 中的 powershell 命
MICROSOFT OFFICE MSDT操作系统命令注入漏洞CVE-2022-30190
huayimy的博客
11-23 1468
MICROSOFT OFFICE MSDT操作系统命令注入漏洞CVE-2022-30190)输入技术支持人员提供的密钥
菜单相关新词
weixin_30847271的博客
05-29 234
populate英 [ˈpɒpjuleɪt] 美 [ˈpɑ:pjuleɪt] vt.居住于;生活于;移民于;落户于 accelerator英 [əkˈseləreɪtə(r)] 美 [ækˈsɛləˌretɚ] n.加速器;催速剂 OLE Object Linking and Embedding,对象连接与嵌入,简称OLE技术。OLE 不仅是桌面应用程序集...
Windows支持诊断工具(MSDT)远程代码执行漏洞CVE-2022-30190学习及复现
加油~
08-17 4691
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cve编号为CVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender开启的情况下绕过防护,达到上线的效果。
CVE-2022-30190分析以及复现和POC利用 //Microsoft Office MSDT 远程代码执行漏洞
热门推荐
Ba1_Ma0的博客
06-09 1万+
在微软官方的介绍里,是从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。意思是恶意 Word 文档可以使用远程模板功能从远程服务器获取 HTML 文件,并且 HTML 代码可以使用 Microsoft 的 MS-MSDT URI 协议方案来加载其他代码并执行 PowerShell 代码与其他的漏洞不同,要利用此漏洞,攻击者只需要用户打开恶意文档即可,保存为RTF文件后,用户只是预览恶意文件,不用单击或者双击恶意
漏洞复现】Microsoft Office MSDT 远程代码执行漏洞CVE-2022-30190
qq_17754023的博客
06-03 5287
0x01 Microsoft OfficeMicrosoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。0x02 漏洞简介该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件,该服务器使用 ms-msdt MSProtocol URI 方案加载代码并执行 PowerShell,禁用宏,仍能通过MSDT功能执行代码(恶意 Word 文档通常用于通过宏执行代码)。......
CVE-2022-30190(follina):Microsoft诊断工具(MSDT)远程代码执行漏洞复现(超级详细)
aihiglh的博客
06-15 4206
CVE-2022-30190的复现与使用,由一位中学生独自编写(第一次写文章),干货较多,欢迎收藏和讨论交流
Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现/修复
hongduilanjun的博客
06-08 3590
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability对应的cveCVE-2022-30190,其能够在非管理员权限、禁用宏且在windows defender的情况下绕过防护,达到上线的效果。这里我们不对漏洞原理做过多的阐述(因为太菜),主要是进行漏洞的复现。在这里笔者只测试了如下版本能够适用,对于Office的 Insider 和 Current 和版本无法进行利用Microsoft Of
CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】.doc
07-09
CVE-2022-30190 Follina Office RCE是一种Office远程代码执行漏洞,allowing attackers to execute arbitrary code on a vulnerable system through a specially crafted Word document. 这个漏洞影响了Microsoft ...
分析CVE-2022-30190特征建立CVE-2022-30190专属规则
最新发布
03-01
CVE-2022-30190是微软Office的一个远程代码执行漏洞,也被称为Follina。攻击者通过Word文档中的外部链接调用MSDTMicrosoft Support Diagnostics Tool)来执行恶意代码,对吧? 接下来,用户可能需要了解如何检测...
CVE-2022-30190 漏洞复现
weixin_53884648的博客
11-10 6770
通过exp实现了对微软目前存在的office-word-2016的成功复现
漏洞复现:通过CVE-2022-30190上线CS
克格莫(有需要的私信)
08-09 1695
漏洞复现
CVE-2022-30190:Microsoft office MSDT 代码执行漏洞
zkaqlaoniao的博客
04-18 1075
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdtURI执行任意PowerShell代码。
Microsoft Office MSDT 存在远程代码执行漏洞CVE-2022-30190
axiom2020的博客
06-06 741
Microsoft Office MSDT 远程代码执行漏洞CVE-2022-30190
微软安全漏洞CVE-2022-30190
bpqd2008的专栏
06-05 511
微软安全漏洞CVE-2022-30190
警惕!这个微软Office 0day 已遭在野利用
smellycat000的专栏
05-31 1080
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士安全研究员发现,微软Office 新0day 已遭在野利用。仅需打开一份Word文档,攻击者即可利用该漏洞通过Microsoft 诊断工具 (MSDT) 执行恶意PowerShell 命令。CVE-2022-30190微软为这个漏洞分配的编号为CVE-2022-30190,提到它是一个远程代码执行漏洞,当攻击者从Word...
Office 远程代码执行漏洞复现过程
技术杂谈
03-30 3098
本文来自作者 肖志华 在 GitChat 上分享 「Office 远程代码执行漏洞复现过程」,「阅读原文」查看交流实录。编辑 | 天津饭直接贴本地复现过程,至于怎么利用还请自己思考。2017年11月14日,微软发布了11月份的安全补丁更新,其中比较引人关注的莫过于悄然修复了潜伏17年之久的 Office 远程代码执行漏洞CVE-2017-11882)。该漏洞Office 内存破坏漏洞,影响目
Microsoft Office MSDT代码执行漏洞CVE-2022-30190漏洞复现
网安君的博客
06-01 3024
漏洞首次发现在2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,通过 ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用 Windows 程序 msdt.exe,该程序用于运行各种 Windows 疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用 ‘ms-msdt’ URI执行任意PowerShell代码。目前已知影
CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】
「 虚幻私塾」
06-18 745
昨天看了下’Follina’ MS-MSDT n-day Microsoft Office RCE 这个漏洞,修改了下chvancooten的脚本,实现可以自定义word模板,便于实战中钓鱼使用,自己编辑好钓鱼word文档后-f参数指定即可。也可以从我的github上下载:https://github.com/komomon/CVE-2022-30190-follina-Office-MSDT-Fixed使用https://github.com/chvancooten/follina.py的项目生成恶意wo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值