全校师生：

近期，发现Microsoft Office MSDT存在远程代码执行漏洞（CVE-2022-30190）。MSDT（Microsoft Support Diagnostics Tool，微软支持诊断工具）是一个Windows实用程序，用于排除故障并收集诊断数据以供专业人员分析和解决问题。应用范围较广，因此威胁影响范围较大。

漏洞描述：当从Word等应用程序使用URL协议调用MSDT时存在远程执行代码漏洞，攻击者通过制作恶意的Office文档，诱导用户在受影响的系统上打开恶意文档后，在宏被禁用的情况下，仍可通过‘ms-msdt’URI执行任意PowerShell代码，当恶意文件保存为RTF格式时，无需受害者打开文件，即可通过资源管理器中的预览窗格在目标系统上执行任意代码。此漏洞已被利用，目前已有PoC公开，请大家采取措施进行防护。

该安全漏洞几乎波及所有受支持的Windows和Windows Server版本：包括Windows7/8.1/10/11，以及Windows Server 2008/2012/2016/2019/2022。

防范建议：

Microsoft Defender在1.367.719.0及以上版本支持此漏洞的检测和防护，Microsoft Defender for Endpoint已为用户提供检测和警报；Microsoft365 Defender门户中的以下警报标题可以提示网络上的威胁活动：Office应用程序的可疑行为、Msdt.exe的可疑行为。

官方防护

目前微软暂未针对此漏洞发布安全补丁，提供了临时修复措施进行防护：

禁用MSDT URL协议：

1、以管理员身份运行命令提示符。

2、备份注册表项后，执行命令“reg export HKEY_CLASSES_ROOT\ms-msdtfilename”。

3、再执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”。

撤销该禁用：

1、以管理员身份运行命令提示符。

2、备份注册表项后，执行命令“reg importfilename”

官方参考链接：https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

应急处置建议：

一旦发现系统中存在漏洞被利用的情况，要第一时间上报，同时开展以下紧急处置：

一是立即断开被入侵的主机系统的网络连接，防止进一步危害；

二是留存相关日志信息；

三是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

网络与教育信息技术中心

2022年6月1日