Microsoft 支持诊断工具 (MSDT) Follina漏洞

Microsoft 在2022 年 5 月 31 日披露了 Microsoft 支持诊断工具 (MSDT) 中的远程代码执行 (RCE) 漏洞。这个漏洞被称为“Follina”，攻击者可以通过向容易受攻击的客户端发送 URL 来利用它。成功利用允许攻击者安装程序、查看或更改数据，或根据受害者的用户权限创建新的帐户。

现在该漏洞已经可以被用到Microsoft office相关的产品中

而且改漏洞还没有安全补丁更新，建议大家可以根据企业内部实际情况，参考如下做法来预防该漏洞的影响：

方法一：减少被攻击面，禁止office创建子进程

(Office 应用程序包括 Word、Excel、PowerPoint、OneNote 和 Access)

创建恶意子进程是一种常见的恶意软件策略，很多利用office作为攻击载体都是通过VBA宏代码下载恶意代码或者工具。

Microsoft 云用户可以通过intune工具创建阻止规则：Office apps launching child processes

本地配置管理器阻止创建规则：Block Office application from creating child processes

图形用户界面阻止规则：7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

方法二：禁止用户访问和运行故障排除向导

允许用户访问和运行故障排除控制面板中提供的故障排除工具，并运行故障排除向导来解决计算机上的问题。如果启用或未配置此策略设置，用户可以从故障排除控制面板访问和运行故障排除工具。

通过注册表值修改启用和禁用：

注册表值适用Windows10和Windows2016
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
REG_DWORD值为0 则是禁用，值为1 则是允许
适用Windows11和Windows2022
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
Value Name:EnableDiagnostics
Value Type:REG_DWORD值为0 则是禁用，值为1 则是允许

需要注意的是，如果禁用此策略设置，用户将无法从控制面板访问或运行故障排除工具。这个设置还影响用户启动独立故障Debug包，例如 .diagcab 文件。如果客户端有需要执行troubleshooting收集异常现象，需要注意这一点。