微软公司发布了应对0 day漏洞主动攻击的变通方法

研究人员表示，微软发布了针对于4月首次标记的0 day漏洞的变通办法。根据研究显示，攻击者已经习惯于针对俄罗斯和西藏的政府组织发动攻击。

跟踪为CVE-2022-3019的远程控制执行（RCE）缺陷与Microsoft Support诊断工具（MSDT）有关，但具有讽刺意味的是，该工具本身被设计用于收集有关公司产品中错误的信息，并向Microsoft Support报告。

微软表示，如果该漏洞被攻击者成功利用，他们则可以在用户权限允许的上下文中安装程序、查看、更改或删除数据或创建新帐户。

微软在关于微软安全响应中心的指南中承认：“当使用Word等调用应用程序的URL协议调用MSDT时，存在远程代码执行漏洞的情况。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。”

微软的变通办法是在漏洞首次显露出后被发现大约六周后出现的。据研究公司Recorded Future的The Record称，Shadow Chaser Group的研究人员于4月12日在2020年8月的一篇学士学位论文中注意到了这一点——攻击者显然是针对俄罗斯用户——并于4月21日向微软报告。

该公司周末在推特上的一篇帖子中表示，Malwarebytes威胁情报分析师也在4月份发现了这一缺陷，但无法完全识别，并转发了4月12日@h2jazi发布的关于该漏洞的原始帖子。

当上述人员对微软报告缺陷时，微软并不认为这是一个问题。但是从现在的视角看，很明显，该公司错了，该漏洞再次引起了日本安全供应商Nao Sec研究人员的注意，他在周末在推特上发布了关于它的新警告，指出它正被用于针对白俄罗斯的用户。

在周末的分析中，著名的安全研究员Kevin Beaumont将漏洞称为“Follina”，并解释了0 day代码引用了总部位于意大利的Follina区号-0438。

当前的变通办法

尽管尚未设计出该缺陷的补丁，但微软建议受影响的用户暂时禁用MSDT URL用以减少由于该缺陷所导致的风险。微软在公告中写道，这“防止了故障排除程序作为包括整个操作系统链接的链接推出”。

为此，用户必须按照以下步骤操作：运行“：作为管理员命令提示”；通过执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt文件名”来备份注册表密钥；并执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

该公司表示：“用户仍然可以使用“获取帮助”应用程序和系统设置中作为其他或额外的故障排除程序访问故障排除程序。”此外，微软表示，如果调用应用程序是Office应用程序，那么默认情况下，Office将在保护视图和Office应用程序保护中从互联网上打开文档，而两者都可以防止当前可能发生的攻击。但是，博蒙特在分析该错误时驳斥了这一保证。

根据公告，微软还计划更新CVE-2022-3019，但未具体说明何时会这样做。

重大风险

与此同时，Beaumont和其他研究人员指出，由于多种原因，未修补的缺陷构成了重大风险。

一个是，它影响了如此多的广泛的用户，因为该漏洞存在于目前所有的Windows版本中，并且可以通过Microsoft Office 2013到Office 2019、Office 2021、Office 365和Office ProPlus被攻击者利用。

首席技术官兼安全公司Votiro的创始人Aviv Grafi在给Threatpost的一封电子邮件中写道：“每个处理内容、文件和特定Office文件的组织，基本上是全球每个人，目前都面临这种威胁。”

Beaumont和Grafi都表示，该缺陷构成重大威胁的另一个原因是，在没有最终用户采取行动的情况下执行该缺陷。Grafi解释说，一旦从调用应用程序加载HTML，MSDT方案将用于执行PowerShell代码以运行恶意有效负载。

Beaumont说，由于该漏洞是滥用Microsoft Word中的远程模板功能，因此它不依赖于典型的基于宏的利用路径，而这在基于Office的攻击中很常见。

Grafi同意：“使这个漏洞如此难以避免的是，最终用户不必启用宏即可执行代码，这使得它成为通过MSDT使用的‘零点击’远程代码执行技术。”

在主动攻击下

安全公司Tenable的高级研究工程师Claire Tills将这一漏洞与去年的零点击MSHTML错误进行了比较，该错误被跟踪为CVE-2021-40444，该错误被包括Ryuk勒索软件帮在内的攻击者重复使用，给用户带来了极大的损失。

她在给Threatpost的电子邮件中写道：“鉴于CVE-2022-30190和CVE-2021-40444之间的相似之处，以及研究人员推测其他协议处理程序也可能很脆弱，我们预计会看到这个问题的进一步发展以及被攻击者的利用尝试。”

事实上，威胁行为者已经突袭了漏洞。周一，Proofpoint Threat Insight还在推特上表示，威胁行为者正在利用这一缺陷来瞄准西藏的组织，冒充中华人民共和国西藏政府的“妇女赋权服务台”。

此外，Grafi表示，微软目前为自己提供的变通方法存在问题，从长远来看不会提供太多的修复方法，特别是在受到攻击的错误时。他说，变通办法“对管理员不友好”，因为它涉及“最终用户端点注册表的更改”。