文章揭示了在Windows 10中,通过文件管理器的预览窗格可以触发受保护视图模式下不应执行的HTTP和SMB请求,从而可能导致敏感信息泄露。即使文档未被正式打开,仅突出显示文档就可能运行内部payload。此外,Office 365在线版也可能在预览中触发HTTP请求,增加了钓鱼攻击的可能性。作者已将此问题报告给微软,但微软表示将在未来解决,而未给出具体时间。
介绍
我想分享最近发现的一个有趣现象,提前说明,这是我基于最新的Windows 10操作系统以及最新的的MS Office 365所发现的。这也是我在开发网络钓鱼工具PhishAPI时偶然发现的。
大多数用户都知道,在打开文档时,经常会出现“受保护视图”模式。该模式会防御很多以前出现的Office安全问题,导致诸如IP地址、操作时间戳、操作系统/Office版本,甚至NTLMv2等信息被窃取!
背景
在Microsoft Office文档中嵌入隐藏的HTTP和UNC调用并不是一种新技术,正如大多数人所知道的那样,像Word文档(docx)这样的文件实际上是包含xml数据的压缩文件。如要自己确定这点,只需用压缩软件打开docx文件,或者将其重命名为.zip,然后直接打开。
这些压缩文件往往包含多种资源,例如图像以及引用它们的xml文件。当然也可以使用外部的图像,这就是HTTP调用存在的意义。你可以直接引用一个外部URI,而不是文件内部的物理路径。
你也可以将图像设置为隐藏,这样就不会在文档中看到。红队团队经常使用这种技术配合Netcat设置一个监听端口(类似于nc -lv 0.0.0.0 80),来判断目标是否上钩。
通过PhishAPI,我能为新文档自动创建xml信息,以及为现有文档插
最低0.47元/天 解锁文章
5980
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
