聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
安全研究员发现,微软Office 新0day 已遭在野利用。仅需打开一份Word文档,攻击者即可利用该漏洞通过Microsoft 诊断工具 (MSDT) 执行恶意PowerShell 命令。
CVE-2022-30190
微软为这个漏洞分配的编号为CVE-2022-30190,提到它是一个远程代码执行漏洞,当攻击者从Word 等应用中通过URL协议调用MSDT时被触发。攻击者如成功利用该漏洞,可以调用应用程序的权限执行任意代码,进而安装程序、查看、修改或删除数据,或在用户权限允许的上下文中创建新账户。
这个漏洞由独立的网络安全研究团队 nao_sec 发现。该团队发现一份Word 文档 (“05-2022-0438.doc”) 从位于布鲁塞尔的一个IP地址上传到 VirusTotal。
该团队的研究人员指出,“它使用Word 的外链加载HTML,之后通过 ‘ms-msdt‘ 图式执行 PowerShell 代码。’”
安全研究员 Kevin Beaumont 将该漏洞称为 “Follina”,它利用Word 文档的远程模板特性从服务器提取HTML文件,之后使用 “ms-msdt://” URI 运行恶意payload。由于恶意样本提到了0438,而这个号码正好是意大利特雷维索市福利纳("Follina”)的城市编号,因此该漏洞命名为 “Follina”。
MSDT的全称是“微软支持诊断工具”,用于调试错误并收集诊断数据供专业人员进行分析,从而解决问题。Beaumont 解释称,“这里有很多问题,不过第一个问题是,即使在禁用宏的情况下,微软Word 通过msdt执行该代码。受保护视图确实会出现,但即使将文档更改为RTF格式,它仍然会在未打开文档的情况下(更不用说打开受保护视图)运行。”
网络安全公司 Huntress Labs 也分析了这个漏洞并给出了详细的攻击流,提到 HTML 文件 (“RDF842l.html”) 触发了源自现已不可触及的域名 “xmlformats[.]com 的exploit。“
Huntress Labs 的研究员 John Hammond 指出,“富文本格式文件 (.RTF) 只需通过在 Windows Explorer 内的预览面板触发对该exploit 的调用即可。就像CVE-2021-40444,无需单次点击该exploit,而是零点击即可触发该漏洞,因此它的严重性提高。”
多个微软 Office 版本,包括Office、Office 2016 和 Office 2021 均受影响,而其它版本也易受攻击。
另外,NCC Group 公司的研究员 Richard Warren 设法在 Office Professional Pro 上演示了一个 exploit。该设备在启用了预览面板的 Windows 11 机器上运行且已打2022年4月的补丁。
Beaumont指出,“微软需要在所有不同的产品版本中打补丁,安全厂商需要健壮的检测和拦截能力。”
应变措施
微软发布应变措施,提到禁用MSDT URL 协议可阻止故障检修工具以链接方式启动。之后仍可使用Get Help 应用程序访问该故障检修工具,以及以其它或更多故障检修工具的形式在系统设置中访问。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Office 365 和 G Suite的多因素认证已遭 IMAP 攻击绕过
0day! 0day!Windows 7 和 Windows Office 均被曝 0day
警告:黑客正利用零宽空格绕过 MS Office 365 防护措施
原文链接
https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
5842
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
