情資內容

(更新原廠修補程式資訊)Microsoft Support Diagnostic Tool (MSDT) 存在高風險漏洞(CVE-2022-30190)，目前已有 exploit code，請評估進行緩解作業

更新時間：2022/06/17 03:01:44

發佈時間：2022/06/17 03:01:44

TLP： (White)

得對外公開散布，但不得違反著作權法等相關規定

更新說明：

(6/16 更新建議措施，原廠已釋出修補程式，建議評估後執行) 一、漏洞說明[1] Microsoft Support Diagnostic Tool （MSDT）為微軟於 Windows 中預設開啟之診斷支援工具，用來蒐集主機相關診斷資料以回傳給原廠技術人員分析問題等支援功能。當攻擊者利用 Word 等應用程式透過 URL 協定呼叫 MSDT，即可成功利用此次漏洞(CVE-2022-30190)，透過呼叫應用程式之權限自遠端執行任意程式碼，包含異動資料、安裝程式以及創建帳戶等。二、已揭露攻擊程式碼說明[2] GitHub 上已出現相關攻擊程式碼。三、影響平台 Windows 7 for 32-bit Systems Service Pack 1、x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems、x64-based systems Windows RT 8.1 Windows 10 for 32-bit Systems、x64-based Systems Windows 10 Version 1607 for 32-bit Systems、x64-based Systems Windows 10 Version 1809 for 32-bit Systems、ARM64-based Systems、x64-based Systems Windows 10 Version 20H2 for 32-bit Systems、ARM64-based Systems、x64-based Systems Windows 10 Version 21H1 for 32-bit Systems、ARM64-based Systems、x64-based Systems Windows 10 Version 21H2 for 32-bit Systems、ARM64-based Systems、x64-based Systems Windows 11 for ARM64-based Systems、x64-based Systems Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server 2022 Windows Server 2022 (Server Core installation) Windows Server 2022 Azure Edition Core Hotpatch Windows Server, version 20H2 (Server Core Installation) 四、CVSS向量: CVE-2022-30190[1] 使用版本：CVSS 3.1 分析分數：7.8 影響等級:3 參考來源: Microsoft 五、建議措施：目前官方已釋出修補程式，建議評估後執行。如未能及時修補可參考原廠提供之緩解措施，依據單位內設備屬性進行風險評估，關閉 MSDT URL 協定的使用。[1] 緩解方式： 1.以管理者權限開啟命令提示字元（Command Prompt） 2.執行以下指令備份現行註冊機碼：「reg export HKEY_CLASSES_ROOT\ms-msdt 檔案名稱」 3.完成備份後執行以下指令刪除機碼：「reg delete HKEY_CLASSES_ROOT\ms-msdt /f 」 4.如需復原原始註冊機碼，可執行以下指令：「reg import 檔案名稱」六、參考資訊： 1. Microsoft https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190 https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/ 2.GitHub https://github.com/chvancooten/follina.py https://github.com/JMousqueton/PoC-CVE-2022-30190 建議措施：參考資料：影響平台：

情資編號：

FISAC-202206-0001

系統目錄：

資安漏洞

資安類別：

資安訊息情資 / 其他

影響等級：

關鍵字：

弱點漏洞