微软office被曝 0 day漏洞 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

微软office被曝 0 day漏洞

ang010ela 漏洞 2022-06-04 11:45:00
收藏

导语:​研究人员在微软office 0 day安全漏洞被用于执行PowerShell。

研究人员在微软office中发现一个0 day安全漏洞——Follina,漏洞CVE编号为CVE-2022-30190。漏洞存在于微软支持诊断工具(Microsoft Support Diagnostic Tool,MSDT)中,当MSDT使用word等应用从URL协议调用时会触发漏洞。攻击者利用该漏洞可以以调用应用的权限运行任意代码,然后安装应用程序、查看、修改和删除数据,创建新的用户账户等。

0 day漏洞

image.png

图1 恶意word文档

5月27日,安全研究人员nao_sec意外发现一个位于Belarus的IP地址向Virus Total提交的恶意word文档,该文件滥用了微软的MSDT(ms-msdt)方案。该恶意文档使用word的外部链接来加载HTML,然后使用ms-msdt方案来执行PowerShell代码。

Obfuscated code used in Follina vulnerability exploitation attacks

图2 Follina漏洞利用中混淆的payload代码

安全研究人员Kevin Beaumont解码了混淆的代码,发现这是一个微软Word使用MSDT执行的命令行字符串,即使在宏脚本被禁用的情况下也可以执行。

Follina payload unobfuscated

图3 Follina payload

以上PowerShell脚本会从压缩的RAR文件中提出一个base64编码的文件,然后执行。目前该文件已经无法访问,所以不清楚攻击活动中执行了哪些恶意活动。

Beaumont 称恶意Word文档使用了远程模板特征从远程服务器取回HTML文件。然后HTML代码使用微软的MS-MSDT URI协议方案来加载额外代码,并执行PowerShell代码。

微软Office保护视图特征旨在对来自潜在不安全位置的文件进行告警,通过激活来警告用户是恶意文档的可能性。但通过将文件修改为RTF格式就可以进行绕过。因此,混淆的代码可以在不打开文档的情况下运行,比如通过IE的预览窗口。

0 day漏洞复现

目前有多个安全研究人员已经在多个微软office版本中复现了该漏洞利用。Huntress研究人员发现HTML文档设置的域名xmlformats[.]com已经无法加载,同时确认RTF文档可以在无需用户交互的情况下实现payload的传递。

Follina zero-click exploit in Microsoft Office

图4 Office Follina 0点击漏洞利用

根据payload的类型,攻击者可以利用漏洞利用来访问受害者网络的远程位置。攻击者可以收集受害者Windows机器的密码哈希用于之后的攻击活动。

Follina vulnerability in Microsoft Office could be used to steal Windows password hashes

图5 Follina漏洞利用帮助收集Windows密码哈希值

难以检测

Beaumont称恶意代码是从Word文档的远程模板加载的,因为本身不包含恶意代码,只是引用了恶意代码,因此不会被标记为威胁。要检测该攻击,需要对系统进程进行监控,因为Follina payload会创建一个msdt.exe的子进程。

漏洞影响和漏洞时间轴

研究人员已经确认,截止目前该漏洞影响Office 2013、2016、Office Pro Plus和Office 2021版本。

研究人员早在4月就将该漏洞报告给了微软,但微软称这并非是一个安全相关的问题。

Microsoft tags Follina report as a non-security issues

图6 微软称Follina并非一个安全相关的问题

4月12日,微软关闭了该漏洞报告,并称没有远程代码执行的安全影响。

Microsoft closes Follina remote code execution bug in Microsoft Office

直到5月30日,微软才对该漏洞分配了CVE编号,但目前没有关于该漏洞的补丁发布情况。

更多关键0 day漏洞复现的技术细节参见:https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

本文翻译自:https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论