警惕！微软曝零日漏洞，可执行任意代码

近日，安全研究人员发现了一个新的Microsoft Office零日漏洞，该漏洞被称为“Follina”，通过Microsoft诊断工具（MSDT），只需打开一个Word文档，即可执行恶意PowerShell命令。

Follina零日漏洞在没有提升权限的情况下工作，绕过Windows Defender检测，并且不需要启用宏代码来执行二进制文件或脚本。

上周五，安全研究员nao_sec在发现从白俄罗斯IP地址上传到病毒扫描平台Virus Total的恶意Word文档后发现了该漏洞。

nao_sec表示：“我在VirusTotal上寻找利用CVE-2021-40444漏洞的文件，发现了一个滥用ms-msdt方案的文件，它使用Word的外部链接来加载HTML，然后使用’ms-msdt’方案执行PowerShell代码。”研究人员发布推文，并附上了混淆代码的屏幕截图。

混淆载荷代码

安全研究员Kevin Beaumont对代码进行了解密，并在一篇博客文章中解释道，该漏洞在宏被禁用的情况下，仍能通过MSDT功能执行代码。

解密的有效载荷

上面的PowerShell脚本将从RAR文件中提取并执行Base64编码文件。因为该文件不再可用，所以尚不清楚攻击执行了哪些恶意活动。

Beaumont进一步表示，攻击者可通过恶意Word文档使用远程模板功能从远程服务器获取恶意HTML文件，通过“ms-msdt”URI来执行恶意PowerShell代码。

Microsoft Office中的受保护视图功能旨在提醒不安全的文件，激活以警告用户可能存在恶意文件。但是，该漏洞可以通过将文档更改为RTF格式轻松绕过警告，甚至无需打开文件，通过资源管理器中的预览选项卡即可执行任意代码。

多名安全研究人员分析了nao_sec共享的恶意文档，并成功地在多个版本的Microsoft Office上重现了该漏洞。

研究人员已确认该漏洞存在于Office 2013、Office 2016、4月的Office Pro Plus（在Windows 11上，5月进行了更新）和Office 2021的补丁版本中。

网络安全服务公司Huntress的研究人员分析了该漏洞并提供了有关其工作原理的更多技术细节。他们发现HTML文档来自“xmlformats[.]com”。Huntress公司证实了Beaumont的发现，即RTF文档无需用户进行任何交互即可交付有效负载，即常说的“零点击攻击”。

只需选择恶意RTF文档即可执行Follina有效负载

研究人员表示，根据有效负载，攻击者可以利用此漏洞远程访问受害者网络，收集其Windows机器密码的哈希值，以便于进一步的漏洞利用活动。

Microsoft Office漏洞可能有助于收集Windows密码哈希值

Beaumont警告说，对这种新的利用方法的检测可能比较困难。Huntress指出要监控系统上的进程，因为Follina有效载荷在有问题的Microsoft Office父进程下创建了一个名为“msdt.exe”的子进程。此外，sdiagnhost.exe 进程将与conhost.exe子进程及其后续有效负载进程一起生成。

对于依赖Microsoft Defender ASR规则的组织，Huntress建议在Block模式下激活“阻止所有Office应用程序创建子进程”规则，防范Follina漏洞利用，建议先在Audit模式下运行规则，并监视结果，以确保不会对用户造成不利影响。

另一个措施是移除ms-msdt的文件类型关联，以便在打开恶意 Folina文档时，Microsoft Office无法调用该工具。

安全研究人员表示，似乎自4月以来，Follina漏洞已被发现并向微软报告。

根据一个专注于追踪和分析高级持续性威胁（APT）的大学生协会Shadow Chaser Group成员发布的屏幕截图，该漏洞已被告知微软，但该公司将其视为“与安全无关的问题”。

对此，微软的说法是，虽然“msdt.exe”确实被执行了，但它在启动时需要密码，并且公司无法复制该漏洞。

微软对Follina漏洞报告的回复

然而，4月12日，微软关闭了漏洞提交报告（跟踪为VULN-065524），并将其归类为“此问题已修复”。

Follina Microsoft Office RCE 4月报告