Microsoft 日前發出公告,指在 Windows 發現零日漏洞,用戶只要預覽含有惡意程式碼的 Word 文件即會中招,讓攻擊都可以遙距執行程式碼,影響遍達所有 Windows 版本。雖然現時 Microsoft 還未發佈修正檔,但就提出方法減輕傷害。
這個漏洞編號為 CVE-2022-30190 ,漏洞出現在 Microsoft 支援診斷工具 (Microsoft Support Diagnostic Tool, MSDT) 上,當一個調用程序如 Word 使用 URL 協議來調用 MSDT 時,攻擊者可以透過 MSDT 來執行惡意 PowerShell 指令,從而以調用程式的權限來執行任意程式碼,並藉此安裝程式、閱覽、改變或刪除資料,甚至可以在電腦上創建新帳戶。最可怕是即使沒有開啟文件,只是預覽都會中招。
Microsoft 表示已在坊間發現有效的漏洞程式碼用來入侵電腦,更有報道指中國黑客已經開始利用這漏洞來入侵,所以建議大家立即使用 Microsoft 提供的臨時措施來避免遇害。
據 Shadow Chaser Group 表示,本來保安專家早在 4 月 12 日就已經通知 Microsoft ,不過 Microsoft 在 4 月 21 日表示未有發現這個漏洞。直至日前再有專家在 Twitter 上公開這個漏洞的攻擊例子, Microsoft 才正式採取行動。
臨時解決方案
- 以管理員身分開啟命令提示字元 (Command Prompt);
- 先執行「 reg export HKEY_CLASSES_ROOT\ms-msdt 檔名 」(本例以 msdt-backup 為檔名)備份機碼原本設定值;
- 執行「 reg delete HKEY_CLASSES_ROOT\ms-msdt /f 」刪除機碼;
- 完成後可以關閉視窗。為確保新設定有效,可以重啟電腦。
還原機碼方法
當 Microsoft 正式發佈修正檔之後,大家就可以安心將機碼還原:
- 以管理員身分開啟命令提示字元 (Command Prompt);
- 執行「 reg import 檔名 」(本例以 msdt-backup 為檔名)匯入備份。
Microsoft Defender Antivirus 可偵測漏洞
另外, Microsoft Defender Antivirus 如果更新至 1.367.719.0 ,亦可以透過以下簽章來檢測到這漏洞:
- Trojan:Win32/Mesdetty.A (攔截 MSDT 命令行指令)
- Trojan:Win32/Mesdetty.B (攔截 MSDT 命令行指令)
- Behavior:Win32/MesdettyLaunch.A!blk (中止能呼叫 MSDT 命令行指令的程序)
Microsoft Defender for Endpoint 亦會對這漏洞發出警告。