近日,安保研究人员在微软办公室发现了新的零天脆弱性。泄密被称为"Follina"使用微软诊断工具(MSDT),只要打开一个 Word 文档,如果您愿意,您可以运行恶意的 PowerShell 序列 。
Folina零天的脆弱性不需要更新,不需要围绕Windows Deference进行操作,也不需要宏代码来运行二进制文件或脚本。
Follina是一个惊喜。
周五, 安全研究员nao_sec在从白俄罗斯IP地址发现恶毒的Word文件,
混淆载荷代码
Kevin Beaumont 安全研究员 熟悉并研究密码博客文章,这表明即使宏已被禁用,该错误仍然可以通过MSDT方法执行代码。
解密的有效载荷
将提取 RR 文件的 PowerShell 脚本, 并运行 Base64 代码文件 。 由于文档已不存在, 不清楚袭击中实施了何种有害操作 。
Beaumont还说,攻击者可能利用恶意 Word 文件从远程站点访问恶意软件 HTML 文件,并通过“ms-msdt” 地址执行恶意软件 PowerShell 代码。
微软办公室的保护视图选项旨在提醒用户注意潜在危险的文件。激活以通知用户可能存在有害文件的可能性 。但是,通过将文档转换为 RTF 格式, 错误可能会简单地避免通知 。甚至无需打开文件,您可以从资源管理人的预览标签中运行任何代码 。
重现零日漏洞
许多安全研究人员检查了共享的nao_sec。大量微软办公室版本的恶意文件已成功重新出现。
2013年办公室、2016年办公室和4月的研究人员验证了这一差距。Office Pro Plus视窗11(在5月更新)和2021年办公室的补丁
Hunters Internet Security Service的研究人员审查了这一差距,对其推理提出了进一步的技术见解。他们在"xmlformats.com > 发现了 HTML 文件 。Beaumont的发现得到Hunterress的证实换句话说,RTF文件并不需要任何用户输入来传送有效载荷。它被称为"零点击攻击"
要运行 Follina 有效载荷, 只要选择恶意的 RTF 文件 。
专家们认为,侵略者可能利用这一差距远程进入受害者网络,并获得视窗机码的哈希值,以便根据有效载荷,协助进一步开发活动。
Microsoft Office的泄漏可能有助于收集Windows密码。
检测困难
Beaumont警告:检验这种新用途战略可能具有挑战性。Hunterress强调,系统的程序应当得到遵守,并应当加以监测。因为Flollina有效载荷在微软 Office 的危险母程序下建立了一个“msdt”子程序。此外,将利用该子程序及其随后的有效载荷程序来建立诊断主机程序。
依靠微软维权公司ASR规则的企业可得到许多帮助。在块模式下, Hunterress 提议激活规则“ 设置子进程时所有 Office 应用程序都禁用 ” 。这是避免Follina漏洞的唯一方法建议最初以审计方式执行细则。并监视结果,保证用户不受负面影响。
另一个预防措施是删除 ms-msdt 文件类型关联, 这样微软 Office 在打开被感染的福林纳文件时不会调用该工具 。
4月向微软报告
据安全专家称,自4月以来,已经发现Follina差距,并向微软报告。
据Shadow Chaser集团的一位成员提供的截图显示, 一家大学生俱乐部(APT)专注识别和分析高层次的持续攻击,
微软在答复中说,虽然已经部署了“msdt”,但它在开始时需要密码,公司不能重复黑客。
微软对Follina错误报告的反应
微软于4月12日填补了报告差距(追踪VULN-06524),
4月 Follina Microsoft 办公室 RCE报告
18名石油和天然气部门主管已同意共同努力打击网络威胁。
2022.05.31
Google声称,一名俄罗斯黑客在英国的德乌泄漏网站背后。
2022.05.30
2022年网络安全趋势行业报告
2022.05.27