读者需知
本文仅供学习使用,由于传播和利用此文所造成的损失均由使用者本人负责,文章作者不为此承担责任
目录
简介
影响版本
复现过程
风险危害
修复意见
简介
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。
攻击者可通过恶意 Office 文件中远程模板功能从服务器获取恶意 HTML 文件,通过 'ms-msdt' URI 来执行恶意 PowerShell 代码。另外,该漏洞在宏被禁用的情况下,仍能通过 MSDT(Microsoft Support Diagnostics Tool)功能执行代码,当恶意文件保存为 RTF 格式时,甚至无需打开文件,通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。
影响版本
Microsoft Office LTSC 专业增强版
Office
Office
Windows Server R2 (Server Core installation)
Windows Server R2
Windows Server (Server Core installation)
Windows Server
Windows Server R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)
Windows Server R2 for x64-based Systems Service Pack 1
Windows Server for x64-based Systems Service Pack 2 (Server Coreinstallation)
Windows Server for x64-based Systems Service Pack 2
Windows Server for 32-bit Systems Service Pack 2 (Server Coreinstallation)
Windows Server for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server (Server Core installation)
Windows Server
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server Azure Edition Core Hotpatch
Windows Server (Server Core installation)
Windows Server
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server (Server Core installation)
Windows Server
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
复现过程
1、搭建环境(本文使用office)
首先准备一台虚拟机win10,win10中必须存在office软件。
2、搭建服务
利用python起一个环境,将一个事先准备好的恶意html放在目录下,准备让测试机访问
3、poc文件从网上流传的进行利用
打开/document.xml.rels
将对应网址替换成服务器网址即可。
4、实现
修改好之后,将对应压缩包修改为docx格式,然后在目标机打开即可。
5、也可以使用rtf进行预览,进行非点击触发
风险危害
可以在非管理员权限、禁用宏且在windows defender开启的情况下绕过防护,达到获取计算机控制权。
修复意见
1、禁用 MSDT URL 协议
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。请按照以下步骤禁用:
a. 以管理员身份运行命令提示符。
b. 要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt filename ”
c. 执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。
2、撤销
a. 以管理员身份运行命令提示符。
b. 要恢复备份注册表项,请执行命令“reg import filename”。
此外,Microsoft Defender 防病毒软件使用检测版本1.367.719.0或更高版本为可能的漏洞利用提供检测和保护;Microsoft Defender for Endpoint 为客户提供检测和警报;Microsoft365 Defender 门户中的以下警报标题可以指示网络上的威胁活动:
Office 应用程序的可疑行为Msdt.exe 的可疑行为
