警惕！这个微软Office 0day 已遭在野利用

微软为这个漏洞分配的编号为CVE-2022-30190，提到它是一个远程代码执行漏洞，当攻击者从Word 等应用中通过URL协议调用MSDT时被触发。攻击者如成功利用该漏洞，可以调用应用程序的权限执行任意代码，进而安装程序、查看、修改或删除数据，或在用户权限允许的上下文中创建新账户。

这个漏洞由独立的网络安全研究团队 nao_sec 发现。该团队发现一份Word 文档 (“05-2022-0438.doc”) 从位于布鲁塞尔的一个IP地址上传到 VirusTotal。

该团队的研究人员指出，“它使用Word 的外链加载HTML，之后通过 ‘ms-msdt‘ 图式执行 PowerShell 代码。’”

安全研究员 Kevin Beaumont 将该漏洞称为 “Follina”，它利用Word 文档的远程模板特性从服务器提取HTML文件，之后使用 “ms-msdt://” URI 运行恶意payload。由于恶意样本提到了0438，而这个号码正好是意大利特雷维索市福利纳（"Follina”）的城市编号，因此该漏洞命名为 “Follina”。

MSDT的全称是“微软支持诊断工具”，用于调试错误并收集诊断数据供专业人员进行分析，从而解决问题。Beaumont 解释称，“这里有很多问题，不过第一个问题是，即使在禁用宏的情况下，微软Word 通过msdt执行该代码。受保护视图确实会出现，但即使将文档更改为RTF格式，它仍然会在未打开文档的情况下（更不用说打开受保护视图）运行。”

网络安全公司 Huntress Labs 也分析了这个漏洞并给出了详细的攻击流，提到 HTML 文件 (“RDF842l.html”) 触发了源自现已不可触及的域名 “xmlformats[.]com 的exploit。“

Huntress Labs 的研究员 John Hammond 指出，“富文本格式文件 (.RTF) 只需通过在 Windows Explorer 内的预览面板触发对该exploit 的调用即可。就像CVE-2021-40444，无需单次点击该exploit，而是零点击即可触发该漏洞，因此它的严重性提高。”

多个微软 Office 版本，包括Office、Office 2016 和 Office 2021 均受影响，而其它版本也易受攻击。

另外，NCC Group 公司的研究员 Richard Warren 设法在 Office Professional Pro 上演示了一个 exploit。该设备在启用了预览面板的 Windows 11 机器上运行且已打2022年4月的补丁。

Beaumont指出，“微软需要在所有不同的产品版本中打补丁，安全厂商需要健壮的检测和拦截能力。”

微软发布应变措施，提到禁用MSDT URL 协议可阻止故障检修工具以链接方式启动。之后仍可使用Get Help 应用程序访问该故障检修工具，以及以其它或更多故障检修工具的形式在系统设置中访问。

https://thehackernews.com/2022/05/watch-out-researchers-spot-new.html

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~