【緊急修正】預覽 Word 文件都中招！ Windows 零日漏洞臨時解決措施

Microsoft 日前發出公告，指在 Windows 發現零日漏洞，用戶只要預覽含有惡意程式碼的 Word 文件即會中招，讓攻擊都可以遙距執行程式碼，影響遍達所有 Windows 版本。雖然現時 Microsoft 還未發佈修正檔，但就提出方法減輕傷害。

這個漏洞編號為 CVE-2022-30190 ，漏洞出現在 Microsoft 支援診斷工具 (Microsoft Support Diagnostic Tool, MSDT) 上，當一個調用程序如 Word 使用 URL 協議來調用 MSDT 時，攻擊者可以透過 MSDT 來執行惡意 PowerShell 指令，從而以調用程式的權限來執行任意程式碼，並藉此安裝程式、閱覽、改變或刪除資料，甚至可以在電腦上創建新帳戶。最可怕是即使沒有開啟文件，只是預覽都會中招。

Microsoft 表示已在坊間發現有效的漏洞程式碼用來入侵電腦，更有報道指中國黑客已經開始利用這漏洞來入侵，所以建議大家立即使用 Microsoft 提供的臨時措施來避免遇害。

據 Shadow Chaser Group 表示，本來保安專家早在 4 月 12 日就已經通知 Microsoft ，不過 Microsoft 在 4 月 21 日表示未有發現這個漏洞。直至日前再有專家在 Twitter 上公開這個漏洞的攻擊例子， Microsoft 才正式採取行動。

Interesting maldoc was submitted from Belarus. It uses Word's external link to load the HTML and then uses the "ms-msdt" scheme to execute PowerShell code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) May 27, 2022

臨時解決方案

以管理員身分開啟命令提示字元 (Command Prompt)；
先執行「 reg export HKEY_CLASSES_ROOT\ms-msdt 檔名」（本例以 msdt-backup 為檔名）備份機碼原本設定值；
$2. 先執行「 reg export HKEY_CLASSES_ROOT\ms-msdt 檔名」（本例以 msdt-backup 為檔名）備份機碼原本設定值；$
執行「 reg delete HKEY_CLASSES_ROOT\ms-msdt /f 」刪除機碼；
$3. 執行「 reg delete HKEY_CLASSES_ROOT\ms-msdt /f 」刪除機碼；$
完成後可以關閉視窗。為確保新設定有效，可以重啟電腦。