網(wǎng)絡安全研究人員正在呼吁人們關注微軟 Office 的一個零日漏洞,這個漏洞可能被用來在受影響的 Windows 系統(tǒng)上任意執(zhí)行代碼��。
在一個名為 nao _ sec 的獨立網(wǎng)絡安全研究小組發(fā)現(xiàn)了一份 Word 文檔(“05-2022-0438.doc”) ����,該文檔是從白俄羅斯的一個 IP 地址上傳到 VirusTotal 的����。
“它使用 Word 的外部鏈接來加載 HTML,然后使用‘ ms-msdt’方案來執(zhí)行 PowerShell 代碼,”研究人員在上周的一系列推文中指出���。
安全研究員凱文 · 博蒙特稱這個漏洞為“ Follina”��,根據(jù)他的說法�,maldoc 利用 Word 的遠程模板功能從服務器獲取一個 HTML 文件�,然后服務器利用“ ms-msdt://”URI 方案運行惡意有效負載。
這個漏洞被如此命名是因為惡意樣本引用了0438,這是Follina的區(qū)號�����,這是Treviso的一個直轄市����。
博蒙特解釋說: “這里發(fā)生了很多事情,但第一個問題是微軟 Word 通過 msdt (一種支持工具)執(zhí)行代碼�,即使宏被禁用�����!�。
(MSDT 是 Microsoft Support Diagnostics Tool 的縮寫,這是一個實用工具�����,用于故障排除和收集診斷數(shù)據(jù)����,以便支持專業(yè)人員進行分析以解決問題。)
研究人員補充說: “保護視圖確實起作用了�,雖然如果你將文檔更改為 RTF 格式�,它甚至不用打開文檔(通過瀏覽器中的預覽標簽)就可以運行�,更不用說保護視圖了�����!
在一份獨立的分析報告中�����,網(wǎng)絡安全公司 Huntress Labs 詳細描述了攻擊流程�����,指出觸發(fā)攻擊的 HTML 文件(“ rdf842l. HTML”)來自一個現(xiàn)在無法訪問的域名為“ xmlformats [ . ]com����!
”富文本格式文件(.RTF)實驗室的 John Hammond 說: “ RTF可以觸發(fā)這個漏洞的調(diào)用����,只要預覽窗格在2010年文件資源管理器之內(nèi)”�。“就像 cve-2021-40444一樣����,這擴展了這種威脅的嚴重性����,不僅僅是通過‘單擊’來利用���,而且可能通過‘零點擊’觸發(fā)���。”
多個微軟 Office 版本��,包括 Office��、 Office 2016和 Office 2021�����,據(jù)說都會受到影響�����,盡管其他版本預計也會受到影響���。
此外�,NCC 集團的 Richard Warren 設法演示了 Office Professional Pro 上的一個漏洞,在啟用了預覽窗格的最新 Windows 11機器上運行了2022年4月的補丁��。
“微軟將需要在所有不同的產(chǎn)品中進行補丁����,安全供應商將需要強大的檢測和阻止,”Beaumont 說。我們已經(jīng)聯(lián)系了微軟公司請其置評����,一旦得到回復,我們將立即更新相關報道��。
微軟已于本周一發(fā)布了針對 Office 辦公套件中一個新發(fā)現(xiàn)的零日安全缺陷的指導意見��,這個缺陷可能被用于在受影響的系統(tǒng)上執(zhí)行代碼���。泛聯(lián)新安的BinSearch也已支持對該漏洞的檢測�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
