Microsoftの診断ツールにゼロデイ脆弱性、「Word」などを介してリモートから任意コードの実行が可能

「Microsoft Support Diagnostic Tool」（MSDT）に未修整の脆弱性（CVE-2022-30190）

　米Microsoftは5月30日（現地時間）、「Microsoft Support Diagnostic Tool」（MSDT）に未修整の脆弱性（CVE-2022-30190）が発見されたとして、回避策を案内するガイダンスを公開した。この脆弱性をついた攻撃もすでに確認されているとのことで、警戒が必要だ。

　本脆弱性は、「Microsoft Word」などのアプリケーションからURLプロトコルを介してMSDTが呼び出された場合に、呼び出し元アプリケーションの権限でリモートからコードが実行されるおそれがあるというもの。「Microsoft Office」製品は既定で「保護ビュー」が有効化されているためすぐさま攻撃を受けることはないが、不用意に「保護ビュー」を解除すれば影響を受ける可能性はある。深刻度の評価は「Important」。

　回避策としては、MSDTプロトコルを一時的に無効化してしまうのが有効だ。管理者権限で「コマンド プロンプト」などを起動し、以下のコマンドを実行すればよい。

# レジストリをバックアップ
reg export HKEY_CLASSES_ROOT\ms-msdt filename

# レジストリを書き換えて、プロトコルを無効化する
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

　元に戻したい場合は、バックアップからレジストリを復元すればよい。

reg import filename

　また、OS内蔵のウイルス対策機能「Microsoft Defender Antivirus」でも本脆弱性を悪用した攻撃を防止できる。ウイルス対策のバージョンが「1.367.719.0」またはそれ以降であれば、以下のシグネチャーで脅威が検出される。

• Trojan:Win32/Mesdetty.A
• Trojan:Win32/Mesdetty.B
• Behavior:Win32/MesdettyLaunch.A
• Behavior:Win32/MesdettyLaunch.B
• Behavior:Win32/MesdettyLaunch.C

　エンタープライズ環境ならば、「Application Guard for Office」や「Microsoft Defender for Endpoint」といったソリューションによる保護を受けることも可能だ。

「Microsoft Defender Antivirus」のバージョンは「Windows セキュリティ」アプリで確認可能