Microsoft Windows 支持诊断工具 (MSDT) 远程代码执行漏洞复现过程
漏洞描述
MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一种实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。Word等应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。
复现成功截图
使用恶意 Microsoft Word 文档创建“Follina”MS-MSDT 攻击,并使用 HTTP 服务器暂存有效负载
Examples:
calc
Msg
危害描述
攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件,通过 ‘ms-msdt’ URI来执行任意代码。
修复建议
1、以管理员身份运行命令提示符。
2、要备份注册表项,请执行命令"reg export HKEY_CLASSES_ROOT\ms-msdt filename"。
3、执行命令"reg delete HKEY_CLASSES_ROOT\ms-msdt /f"。
如何恢复已删除的注册表:
1、以管理员身份运行命令提示符。
2、要备份注册表项,请执行命令"reg import filename"。
注意:本人不会公开POC!!!