【精選威脅情資】漏洞警訊：Microsoft支援診斷工具漏洞CVE-2022–30190

‍

本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。

‍

危害與影響

作為使用者數量龐大的全球知名作業系統，Microsoft Windows 相關軟體一旦出現漏洞，其威脅與影響力不可小覷。近期，Microsoft 的研究人員公布了一個 Microsoft 支援診斷工具 (Microsoft Support Diagnostic Tool, MSDT) 的漏洞 (CVE-2022–30190)。該漏洞為遠端執行程式碼 (Remote Code Execution, RCE) 漏洞，可影響所有 Microsoft Windows 平台，嚴重程度已達通用漏洞評分系統 (Common Vulnerability Scoring System, CVSS) 的 7.8 分。更嚴重的是，目前已出現相關案例顯示，中國 APT 組織 TA413 偽裝成藏人中央行政組織的婦女賦權臺「Women Empowerments Desk」，假借要為藏人婦女爭取權益，實則傳送了包含 MSDT 攻擊腳本的文件。

分析師觀點

有鑑於該漏洞的危害性，網路安全暨基礎架構安全署 (Cybersecurity and Infrastructure Security Agency, CISA) 已發布公告請使用者與網路管理員盡快實行應對措施。事實上，在微軟尚未對該漏洞進行修補前，野外就已經出現相關的攻擊概念性程式碼，顯見未來可能會有更多相關的攻擊行動，值得我們多加注意。

描述

2022 年五月三十日，微軟公布了一個 Windows 平台支援診斷工具的漏洞 (CVE-2022–30190)，該漏洞可以讓駭客從遠端執行任意程式碼，因此獲得 7.8 分的高風險評分。且截至六月一日為止，微軟並未修復該漏洞，而是建議使用者關閉 MSDT 的功能。

MSDT 存在於所有的 Windows 版本當中，因此影響範圍相當廣泛，而且目前已經發現多起 APT 行動利用了該漏洞。此外，該攻擊的概念性程式碼已經公開於網路上，未來可能會被更多有心人士利用。

技術分析

MSDT 是 Microsoft 所提供的系統診斷工具，用於收集系統訊息，並將其發送回 Microsoft 以進行問題診斷。此工具存在於所有版本的Windows中，包括 Windows伺服器系統。

本報告所分析之漏洞發生於 MSDT，起因於 MSDT 允許透過 URL 的方式調用，並且搭配傳入的參數就可達到遠端程式碼執行。

‍

‍

因此攻擊者在 Microsoft Office（例如 Word、Excel、Outlook）中嵌入 OLE 物件去調用包含 MSDT URL 的惡意 HTML，並觸發 MSDT 的漏洞。藉此，駭客就可以在遠端執行任意程式碼。

緩解措施

針對這個漏洞，微軟提出了一項緩解措施：禁用 MSDT URL 協議。由於攻擊者是透過 MSDT URL 協議達成遠端程式碼執行，因此只要禁用 MSDT URL 協議，就可以防止利用漏洞的攻擊行為。

參考資料

1. ‍Microsoft Security Response Center. “Guidance for CVE-2022–30190 Microsoft Support Diagnostic Tool Vulnerability” Accessed June 9, 2022.‍
2. FORTINET. “CVE-2022–30190: Microsoft Support Diagnostic Tool (MSDT) RCE Vulnerability “Follina”” Accessed June 9, 2022.‍
3. CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY. “Microsoft Releases Workaround Guidance for MSDT “Follina” Vulnerability” Accessed June 9, 2022.

入侵指標 (IoCs)

Hash

• 710370f6142d945e142890eb427a368bfc6c5fe13a963f952fb884c38ef06bfa
• fe300467c2714f4962d814a34f8ee631a51e8255b9c07106d44c6a1f1eda7a45
• 3db60df73a92b8b15d7885bdcc1cbcf9c740ce29c654375a5c1ce8c2b31488a1
• 4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784
• d118f2c99400e773b8cfd3e08a5bcf6ecaa6a644cb58ef8fd5b8aa6c29af4cf1
• 764a57c926711e448e68917e7db5caba988d3cdbc656b00cd3a6e88922c63837
• 8e986c906d0c6213f80d0224833913fa14bc4c15c047766a62f6329bfc0639bd
• e8f0a2f79a91587f1d961d6668792e74985624d652c7b47cc87367cb1b451adf
• 4369f3c729d9bacffab6ec9a8f0e582b4e12b32ed020b5fe0f4c8c0c620931dc
• 1f245b9d3247d686937f26f7c0ae36d3c853bda97abd8b95dc0dfd4568ee470b
• bf10a54348c2d448afa5d0ba5add70aaccd99506dfcf9d6cf185c0b77c14ace5
• c0c5bf6fe1d3b23fc89e0f8b352bd687789b5083ca6d8ec9acce9a9e2942be1f
• 248296cf75065c7db51a793816d388ad589127c40fddef276e622a160727ca29
• d61d70a4d4c417560652542e54486beb37edce014e34a94b8fd0020796ff1ef7
• 4f11f567634b81171a871c804b35c672646a0839485eca0785db71647a1807df

Domain

• sputnikradio[.]net
• xmlformats[.]com
• exchange[.]oufca[.]com[.]au
• 141[.]98[.]215[.]99
• tibet-gov[.]web[.]app