Skip to main content
MSRC

CVE-2022-30190 マイクロソフト サポート診断ツールの脆弱性に関するガイダンス

Japan Security Team
/ By Japan Security Team / / 13 min read

本ブログは Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability の抄訳版です。最新の情報は原文を参照してください。

2022 年 7 月 12 日更新 : マイクロソフトによる対応の一環として、7 月 累積更新プログラムにおいて、発見された Defense in depth の亜種を修正しました。マイクロソフトでは、7 月の更新プログラムをできるだけ早くインストールすることを推奨しています。

Windows バージョン KB へのリンク カタログ へのリンク
Windows 8.1 Windows Server 2012 R2 5015805 Download
Windows Server 2012 5015805 Download
Windows 7 Windows Server 2008 R2 5015805 Download
Windows Server 2008 SP2 5015805 Download

2022 年 5 月 30 日 月曜日(米国時間)、マイクロソフトは Windows のマイクロソフト サポート診断ツール (Microsoft Support Diagnostic Tool, MSDT) に関する脆弱性 CVE-2022-30190 を発行しました。2022 年 6 月 14 日 火曜日 (米国時間) 、マイクロソフトはこの脆弱性に対応するための Windows の更新プログラムを発行しました。マイクロソフトでは、Windows 8.1 以前の OS を対象に、上記の表に従って KB5015805 をインストールすることを推奨しています。defense in depth の修正は、Windows 10 以降の累積的な更新プログラムに組み込まれています。

Word などの呼び出し元アプリケーションから URL プロトコルを使用して MSDT が呼び出されると、リモートでコードが実行される脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、呼び出し元のアプリケーションの権限で任意のコードが実行される可能性があります。その後、攻撃者は、ユーザーの権限で許可されているコンテキストで、プログラムのインストール、データの表示、変更、削除、または新しいアカウントの作成を行うことができます。

回避策

MSDT URL プロトコルを無効にする方法

MSDT URL プロトコルを無効にすると、OS 全体で、トラブルシューティング ツールのリンクからの起動が阻止されます。トラブルシューティング ツールはGet Help アプリケーション、システム設定、または追加のトラブルシューティング ツール経由で引き続き利用可能です。

無効にするには、次の手順に従います。

  1. 管理者 として コマンドプロンプト を実行します。
  2. レジストリ キーをバックアップするには、“reg export HKEYCLASSES_ROOT\ms-msdtファイル名*” コマンドを実行します*。_
  3. コマンド “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” を実行します。

回避策を元に戻す方法

  1. 管理者 として コマンドプロンプト を実行します。
  2. レジストリキーをバックアップから復元するには、コマンド “reg import ファイル名”を実行します

Microsoft Defender 検出と保護

Microsoft Defender ウイルス対策 (MDAV)

  • Microsoft Defender ウイルス対策は、検出ビルド 1.367.851.0 以降で、次のシグネチャの下で、脆弱性の悪用の可能性に対する検出と保護を提供します。
  • Trojan:Win32/Mesdetty.A (msdt コマンドラインをブロックする)
  • Trojan:Win32/Mesdetty.B (msdt コマンドラインをブロックする)
  • Behavior:Win32/MesdettyLaunch.A!blk (msdt を起動したプロセスを終了させる コマンドライン)
  • Trojan:Win32/MesdettyScript.A (msdt の怪しいコマンドを含む HTML ファイルがドロップされたことを検出するため)
  • Trojan:Win32/MesdettyScript.B (msdt の怪しいコマンドを含む HTML ファイルがドロップされたことを検出するため)

Microsoft Defender ウイルス対策 (NDAV) を使用しているお客様は、クラウドで配信される保護と自動サンプル提出を有効にする必要があります。これらの機能は、人工知能と機械学習を使用して、新しい脅威や未知の脅威をすばやく特定して阻止します。

Microsoft Defender for Endpoint (MDE)

Microsoft Defender for Endpoint は、お客様に検出とアラートを提供しています。Microsoft 365 Defender ポータルの次のアラートタイトルは、ネットワーク上の脅威アクティビティを示すことができます。

  • Suspicious behavior by an Office application
  • Suspicious behavior by Msdt.exe

Microsoft Defender for Endpoint (MDE) を利用しているお客様は、Office アプリが子プロセスを作成できないようにブロックする攻撃対象領域の削減ルール “すべての Office アプリケーションによる子プロセスの作成をブロックする” GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a を有効にすることができます。悪意のある子プロセスの作成は、一般的なマルウェア対策です。詳細については、「すべての Office アプリケーションによる子プロセスの作成をブロックする」を参照してください。

Microsoft Defender for Office 365 (MDO)

Microsoft Defender for Office 365 は、この脆弱性を悪用するために使用される悪意のあるドキュメントまたは URL を含む電子メールの検出と保護を提供します。

  • Trojan_DOCX_OLEAnomaly_AC
  • Trojan_DOCX_OLEAnomaly_AD
  • Trojan_DOCX_OLEAnomaly_AE
  • Trojan_DOCX_OLEAnomaly_AF
  • Exploit_UIA_CVE_2022_30190
  • Exploit_CVE_2022_30190_ShellExec
  • Exploit_HTML_CVE_2022_30190_A
  • Exploit_Win32_CVE_2022_30190_B

FAQ

Q: 保護ビューと Office 用 Application Guard は、この脆弱性からの保護を提供しますか?

A: 呼び出し元のアプリケーションが Microsoft Office アプリケーションの場合、既定では、Microsoft Office は保護ビューまたは Office 用 Application Guard でインターネットから取得したドキュメントを開き、どちらも現在の攻撃を防ぎます。

Q: GPO にて コンピューターの構成\管理用テンプレート\システム\トラブルシューティングと診断\Microsoft サポート診断ツール\“Microsoft サポート診断ツール: MSDT とサポート プロバイダーとの対話型通信を有効にする” を “無効” に設定することは 回避策になりますか?
Registry Hive: HKEY_LOCAL_MACHINE
Registry Path: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\
Value Name: DisableQueryRemoteServer
Type: REG_DWORD
Value: 0
A:いいえ、この GPO はこの脆弱性に対する保護にはなりません。 「サポートプロバイダとの対話型通信」 は、パラメータなしで MSDT が起動されたときに実行される特別なモードで、MSDT の URL プロトコルのサポートには影響を与えません。

Q: GPO にて コンピューターの構成\管理用テンプレート\システム\トラブルシューティングと診断\Microsoft サポート診断ツール\“トラブルシューティング: 既知の問題に対して推奨されるトラブルシューティングへのアクセスをユーザーに許可する” から “無効” に設定することは 回避策になりますか?
A:いいえ、このグループ ポリシーを有効または無効にしても、トラブルシューティング機能の脆弱な部分には影響しないので、回避策ではありません。

Q: Windows Defender アプリケーション コントロール (WDAC) などのテクノロジーを使用して MSDT をブロックすることは、MSDT ハンドラー “HKEY_CLASSES_ROOT\ms-msdt” を削除する回避策と同等ですか?
A: MSDT をブロックすると、ネットワークのトラブルシューティング ツールやプリンターのトラブルシューティング ツールなど、すべての MSDT ベースの Windows トラブルシューティング ツールが起動しなくなります。推奨される回避策では、MSDT リンクのクリックのサポートが無効になり、ユーザーは使い慣れた Windows のトラブルシューティング ツールを引き続き使用できます。

Q:回避策の実施を必要とする Windows のバージョンはどれですか?
A: MSDT URL プロトコルは、Windows Server 2019 および Windows 10 バージョン 1809 以降のサポートされるバージョンの Windows で利用可能です。それよりも前のサポートされるバージョンの Windows では、回避策の項目で記載したレジストリキーは存在しないので、回避策を実施する必要はありません。

今後、私たちは CVE-2022-30190 をアップデートし、さらに詳しい情報を提供する予定です。

The MSRC Team

更新履歴:
2022/06/06 – FAQ を追加しました。
2022/06/07 – FAQ を 1 件追加しました。
2022/06/07 – 検出情報を追加しました。
2022/06/14 – 脆弱性に対応した更新プログラムを公開しました。
2022/08/12 – defense in depth に関するアップデートを公開しました。

Next Post

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.