更多

    【緊急修正】預覽 Word 文件都中招! Windows 零日漏洞臨時解決措施

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Microsoft 日前發出公告,指在 Windows 發現零日漏洞,用戶只要預覽含有惡意程式碼的 Word 文件即會中招,讓攻擊都可以遙距執行程式碼,影響遍達所有 Windows 版本。雖然現時 Microsoft 還未發佈修正檔,但就提出方法減輕傷害。

    這個漏洞編號為 CVE-2022-30190 ,漏洞出現在 Microsoft 支援診斷工具 (Microsoft Support Diagnostic Tool, MSDT) 上,當一個調用程序如 Word 使用 URL 協議來調用 MSDT 時,攻擊者可以透過 MSDT 來執行惡意 PowerShell 指令,從而以調用程式的權限來執行任意程式碼,並藉此安裝程式、閱覽、改變或刪除資料,甚至可以在電腦上創建新帳戶。最可怕是即使沒有開啟文件,只是預覽都會中招。

    Microsoft 表示已在坊間發現有效的漏洞程式碼用來入侵電腦,更有報道指中國黑客已經開始利用這漏洞來入侵,所以建議大家立即使用 Microsoft 提供的臨時措施來避免遇害。

    據 Shadow Chaser Group 表示,本來保安專家早在 4 月 12 日就已經通知 Microsoft ,不過 Microsoft 在 4 月 21 日表示未有發現這個漏洞。直至日前再有專家在 Twitter 上公開這個漏洞的攻擊例子, Microsoft 才正式採取行動。

    臨時解決方案

    1. 以管理員身分開啟命令提示字元 (Command Prompt);
      1. 以管理員身分開啟命令提示字元 (Command Prompt);
    2. 先執行「 reg export HKEY_CLASSES_ROOT\ms-msdt 檔名 」(本例以 msdt-backup 為檔名)備份機碼原本設定值;
      2. 先執行「 reg export HKEY_CLASSES_ROOT\ms-msdt 檔名 」(本例以 msdt-backup 為檔名)備份機碼原本設定值;
    3. 執行「 reg delete HKEY_CLASSES_ROOT\ms-msdt /f 」刪除機碼;
      3. 執行「 reg delete HKEY_CLASSES_ROOT\ms-msdt /f 」刪除機碼;
    4. 完成後可以關閉視窗。為確保新設定有效,可以重啟電腦。

    還原機碼方法

    當 Microsoft 正式發佈修正檔之後,大家就可以安心將機碼還原:

    1. 以管理員身分開啟命令提示字元 (Command Prompt);
    2. 執行「 reg import 檔名 」(本例以 msdt-backup 為檔名)匯入備份。
      2. 執行「 reg import 檔名 」(本例以 msdt-backup 為檔名)匯入備份。

    Microsoft Defender Antivirus 可偵測漏洞

    另外, Microsoft Defender Antivirus 如果更新至 1.367.719.0 ,亦可以透過以下簽章來檢測到這漏洞:

    • Trojan:Win32/Mesdetty.A  (攔截 MSDT 命令行指令)
    • Trojan:Win32/Mesdetty.B  (攔截 MSDT 命令行指令)
    • Behavior:Win32/MesdettyLaunch.A!blk (中止能呼叫 MSDT 命令行指令的程序)

    Microsoft Defender for Endpoint 亦會對這漏洞發出警告。

    您會感興趣的內容

    相關文章