当心!研究人员发现新的微软 Office 零日漏洞

2022-06-01|

网络安全研究人员正在呼吁人们关注微软 Office 的一个零日漏洞,这个漏洞可能被用来在受影响的 Windows 系统上任意执行代码。

在一个名为 nao _ sec 的独立网络安全研究小组发现了一份 Word 文档(“05-2022-0438.doc”) ,该文档是从白俄罗斯的一个 IP 地址上传到 VirusTotal 的。

“它使用 Word 的外部链接来加载 HTML,然后使用‘ ms-msdt’方案来执行 PowerShell 代码,”研究人员在上周的一系列推文中指出。

安全研究员凯文 · 博蒙特称这个漏洞为“ Follina”,根据他的说法,maldoc 利用 Word 的远程模板功能从服务器获取一个 HTML 文件,然后服务器利用“ ms-msdt://”URI 方案运行恶意有效负载。

这个漏洞被如此命名是因为恶意样本引用了0438,这是Follina的区号,这是Treviso的一个直辖市。

博蒙特解释说: “这里发生了很多事情,但第一个问题是微软 Word 通过 msdt (一种支持工具)执行代码,即使宏被禁用。”。

(MSDT 是 Microsoft Support Diagnostics Tool 的缩写,这是一个实用工具,用于故障排除和收集诊断数据,以便支持专业人员进行分析以解决问题。)

研究人员补充说: “保护视图确实起作用了,虽然如果你将文档更改为 RTF 格式,它甚至不用打开文档(通过浏览器中的预览标签)就可以运行,更不用说保护视图了。”

在一份独立的分析报告中,网络安全公司 Huntress Labs 详细描述了攻击流程,指出触发攻击的 HTML 文件(“ rdf842l. HTML”)来自一个现在无法访问的域名为“ xmlformats [ . ]com。”

”富文本格式文件(.RTF)实验室的 John Hammond 说: “ RTF可以触发这个漏洞的调用,只要预览窗格在2010年文件资源管理器之内”。“就像 cve-2021-40444一样,这扩展了这种威胁的严重性,不仅仅是通过‘单击’来利用,而且可能通过‘零点击’触发。”

多个微软 Office 版本,包括 Office、 Office 2016和 Office 2021,据说都会受到影响,尽管其他版本预计也会受到影响。

此外,NCC 集团的 Richard Warren 设法演示了 Office Professional Pro 上的一个漏洞,在启用了预览窗格的最新 Windows 11机器上运行了2022年4月的补丁。

“微软将需要在所有不同的产品中进行补丁,安全供应商将需要强大的检测和阻止,”Beaumont 说。我们已经联系了微软公司请其置评,一旦得到回复,我们将立即更新相关报道。

微软已于本周一发布了针对 Office 办公套件中一个新发现的零日安全缺陷的指导意见,这个缺陷可能被用于在受影响的系统上执行代码。泛联新安的BinSearch也已支持对该漏洞的检测。


标签: 一个 漏洞 微软 Office 博蒙特 这个 触发 研究人员 执行 通过
出处: https://www.toutiao.com/article/7103810853920752131/

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护