Microsoft 已共享缓解措施，以阻止利用新发现的 Microsoft Office 零日漏洞远程执行恶意代码的攻击。

该漏洞是 Shadow Chaser Group的疯子报告的一个Microsoft Windows 支持诊断工具（MSDT）远程代码执行漏洞 。

微软现在将其跟踪为 CVE-2022-30190。该漏洞影响仍在接收安全更新的所有 Windows 版本（Windows 7+ 和 Server 2008+）。

正如安全研究人员 nao_sec 发现的那样，威胁参与者使用它通过 MSDT 执行恶意 PowerShell 命令，Redmond 在打开或 预览 Word 文档时将其描述为任意代码执行 (ACE) 攻击。

“成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码，”微软 解释说。

“然后攻击者可以安装程序、查看、更改或删除数据，或者在用户权限允许的上下文中创建新帐户。”

可用的解决方法
根据 Redmond 的说法，管理员和用户可以通过禁用 MSDT URL 协议来阻止利用 CVE-2022-30190 的攻击，恶意行为者使用该协议来启动故障排除程序并在易受攻击的系统上执行代码。

要在 Windows 设备上禁用 MSDT URL 协议，您必须执行以下过程：

以 管理员身份运行 命令提示符。
要备份注册表项，请执行命令“ reg export HKEY_CLASSES_ROOT\ms-msdt filename ”
执行命令“ reg delete HKEY_CLASSES_ROOT\ms-msdt /f ”
在 Microsoft 发布 CVE-2022-30190 补丁后，您可以通过启动提升的命令提示符并执行 reg import filename 命令（文件名是禁用协议时创建的注册表备份的名称）来撤消解决方法。

Microsoft Defender Antivirus 1.367.719.0 或更高版本现在还带有以下签名下可能的漏洞利用检测：

木马:Win32/Mesdetty.A
木马:Win32/Mesdetty.B
行为：Win32/MesdettyLaunch.A
行为：Win32/MesdettyLaunch.B
行为：Win32/MesdettyLaunch.C

虽然微软表示 Microsoft Office 的受保护视图和应用程序防护将阻止 CVE-2022-30190 攻击，但 CERT/CC 漏洞分析师 Will Dormann（和 其他研究 人员）发现， 如果目标预览恶意文档Windows资源管理器。

因此，还建议禁用 Windows 资源管理器中的“预览”窗格以删除此攻击媒介。

据Shadow Chaser Group 的疯子，4 月份首次发现并报告零日漏洞的研究人员称，微软首先将该漏洞标记为 不是“与安全相关的问题”。不过，它后来 通过远程执行代码关闭了漏洞提交报告影响。

第一次利用这个零日漏洞的攻击开始于一个多月前，目标是潜在的讲俄语的受害者，受邀接受人造卫星电台的采访。

BleepingComputer 已联系 Microsoft 以获取有关此漏洞（被 Follina戏称为）的更多信息，并询问为什么它不被视为安全风险。我们尚未收到回复，但我们会在公司发表声明后立即更新文章。