近日，網絡安全研究人員發現了一個新的 Microsoft Office 零日漏洞，編號 CVE-2022-30190。只需打開 Word 文檔即可通過 Microsoft 診斷工具 (MSDT) 執行惡意 PowerShell 命令，也可以運行任意代碼。這也就意味著，攻擊者可以安裝程序、查看、更改或刪除數據，或者在用戶權限允許的上下文中創建新帳戶。

所幸，微軟方面很快有了應對措施。5月30日，微軟發布了相關的緩解措施，可阻止攻擊者利用該零日漏洞發起遠程攻擊，具體如下：

其余緩解措施

由于攻擊者使用MSDT URL協議來啟動故障排除程序并在易受攻擊的系統上執行代碼，因此管理員和用戶也可以通過禁用該協議來規避CVE-2022-30190零日漏洞帶來的威脅。

具體操作方式如下：

1、以管理員身份運行命令提示符；

2、備份注冊表項，請執行命令“reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg”

3、執行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”

在微軟發布CVE-2022-30190漏洞補丁后，用戶也可以通過啟動提升的命令提示符并執行 reg import ms-msdt.reg 命令來撤消解決方法（文件名是禁用協議時創建的注冊表備份的名稱）。

雖然微軟表示 Microsoft Office 的受保護視圖和應用程序防護將阻止CVE-2022-30190攻擊，但 CERT/CC 漏洞分析師 Will Dormann發現，如果目標預覽惡意文檔還有可能是Windows資源管理器，因此還建議禁用 Windows 資源管理器中的“預覽”窗格以刪除此攻擊媒介。