信息安全网的研究人员在微软无处不在的 Office 软件中发现了一个零日代码执行漏洞。
这个被称为“ Follina”的漏洞已经流传了一段时间(网络安全研究员 Kevin Beaumont 追溯到4月12日微软的一份报告) ,并使用 Office 功能检索一个 HTML 文件,然后利用微软的支持诊断工具(MSDT)运行一些代码。
更糟糕的是,即使禁用宏,它也能在 microsoftword 中工作。
上周末,Twitter 上的@nao _ sec 帐户注意到了该漏洞,该帐户指出使用 ms-msdt 执行 PowerShell 代码。
至于缓解措施,现在没有多少。Huntress的帖子建议用户利用微软防御者的攻击表面降低(ASR)规则可以将“阻止所有 Office 应用程序创建子进程”选项设置为“阻止模式”
漏洞分析师 Will Dormann 建议的另一个选择是删除 ms-msdt 的文件类型关联,以阻止 Office 启动应用程序。
他说 : “一旦你看到用户界面,就太晚了。所以这并不重要。”
然而,实际上看到用户界面并不是一件肯定的事情。Beaumont 告诉记者: “我看到的第一个野生样品隐藏了用户界面。
或者,安全团队应该警告用户注意附件。然而,使用富文本格式文件和 Windows 的预览窗格的攻击者,理论上可以跳过用户必须点击该文件的步骤。
虽然最初的攻击只在打开恶意文档的用户帐户级别运行代码,但这种访问为更多可能升级特权的攻击打开了大门。值得一提的是,微软支持诊断工具的用户界面中弹出了当前的漏洞,尽管很容易想象用户不耐烦地点击它。
Beaumont和其他研究人员已经发布了 Defender 等的检测规则,但是在漏洞修补好之前,需要警惕。他在一篇关于这个主题的文章中写道: “检测可能不会很好,因为 Word 从远程模板(webserver)加载恶意代码,所以 Word 文档中没有任何东西实际上是恶意的。”
有趣的是,虽然微软还没有公开承认这个问题,Beaumont指出,这个问题似乎已经在最新的内部和当前版本的 Office 中得到了解决。然而,他在2013年和2016年发现了这个漏洞。其他用户表示,他们可以利用 Office 2019全面更新版本的漏洞,而 Didier Stevens 展示了该漏洞在 Office 2021中的工作。
正如 Beaumont 所说: “从历史上看,当有简单的方法直接从 Office 执行代码时,人们就会用它来做坏事。这打破了禁用宏的界限。”
我们已经要求微软对此发表评论。4月12日的第一份报告因不涉及安全问题而被终止。“根据记录,”Beaumont 指出,“在禁用宏的情况下执行 msdt 是一个问题。”
资料来源:
1.Zero-Day ‘Follina’ Bug Lays Older Microsoft Office Versions Open to Attack | Threatpost
2.Microsoft Word struck by zero-day vulnerability • The Register