近日,网络安全研究人员发现了一个新的微软Office零日漏洞,编号为CVE-2022-30190。只需打开Word文档即可通过Microsoft诊断工具(MSDT)执行恶意PowerShell命令,或运行任意代码。这也意味着攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的情况下创建新帐户。好在微软很快有了对策。5月30日,微软发布相关缓解措施,防止攻击者利用该零日漏洞发起远程攻击,如下:其余缓解措施是由于攻击者使用MSDTURL协议发起故障排除程序,在易受攻击的网站上运行。在系统上执行代码,因此管理员和用户也可以通过禁用协议来避免CVE-2022-30190零日漏洞的威胁。具体操作方法如下:1、以管理员身份运行命令提示符;2.备份注册表项,请执行命令“regexportHKEY_CLASSES_ROOT\ms-msdtms-msdt.reg”3.执行命令“regdeleteHKEY_CLASSES_ROOT\ms-msdt/f”CVE-2022-30190漏洞,用户还可以通过启动提升的命令提示符并执行regimportms-msdt.reg命令来撤消变通办法(文件名是在禁用协议时创建的注册表备份的名称)。虽然微软表示MicrosoftOffice的ProtectedView和ApplicationGuard将阻止CVE-2022-30190攻击,但CERT/CC漏洞分析师WillDormann发现如果目标预览的是恶意文档,它也很可能是WindowsExplorer,因此建议禁用Windows资源管理器中的预览窗格以删除此攻击媒介。
