微软警告MSDT官方支持诊断工具存在严重的远程代码执行漏洞使用MSDT支持诊断工具不熟悉。根据微软技术支持的建议,可以使用WinKey+R组合键调出运行窗口,输入msdt直接调用该工具。此时,系统会要求用户输入支持代表提到的密钥来运行一些诊断,然后将结果直接提交给微软进行进一步分析。(来自:MS安全响应中心)令人尴尬的是,周一,微软披露了MSDT中远程代码执行(RCE)漏洞的公告(CVE-2022-30190)。更糟糕的是,该安全漏洞影响几乎所有受支持的Windows和WindowsServer版本——包括Windows7/8.1/10/11和WindowsServer2008/2012/2016/2019/2022。虽然微软目前还没有给出详细说明(或许还没有完成修复),但该公司解释称,当MicrosoftWord等应用程序通过URL协议调用MSDT时,RCE漏洞存在被攻击者利用的风险。如果成功,攻击者将能够通过调用应用程序的权限来运行任意代码、查看、删除或更改您的文件。CVE-2022-30190被视为高危漏洞作为应对。微软的临时缓解建议是在不需要的时候禁用MSDT:以管理员身份运行CMD命令提示符;正式运行前请记得备份注册表(执行regexportHKEY_CLASSES_ROOT\ms-msdtfilename命令);然后确认执行“regdeleteHKEY_CLASSES_ROOT\ms-msdt/f”命令。如果以后还有调用MSDT诊断支持工具的需求,必要时也可以执行如下命令解包(建议等待微软发布官方补丁修复):运行CMD命令提示符作为管理员;执行以下命令恢复之前备份的注册表文件(regimport[filename])。同时,我们强烈建议Windows用户启用MicrosoftDefender或其他可靠的第三方防护软件,让可疑样本自动提交到云端。MicrosoftDefenderforEndpoint的企业管理员也请通过适当的配置策略减少来自Office应用程序的攻击面。
