Follina — Microsoft Office 代码执行漏洞

admin 2025年2月12日23:59:33评论19 views字数 778阅读2分35秒阅读模式

本地复现成功

Follina — Microsoft Office 代码执行漏洞

Follina — Microsoft Office 代码执行漏洞

Follina — Microsoft Office 代码执行漏洞

样本在这里

https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb

使用 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,该服务器又使用 ms-msdt MSProtocol URI 方案加载代码并执行一些 PowerShell。

即使禁用宏,Microsoft Word 也会通过 msdt执行代码。如果您将文档更改为 RTF 形式,它甚至无需打开文档(通过资源管理器中的预览选项卡)即可运行

当前,本地管理员,完全禁用宏,使用 Defender,使用 Office 365 ,在打开 Word 文档时随便弹出 calc。

建议:删除ms-msdt URI 注册表项

或禁止office应用生成子进程

自动生成工具也出来了

https://github.com/chvancooten/follina.py

参考:

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://gist.github.com/kevthehermit/5c8d52af388989cfa0ea38feace977f2

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes

原文始发于微信公众号(关注安全技术):Follina — Microsoft Office 代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月12日23:59:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Follina — Microsoft Office 代码执行漏洞https://cn-sec.com/archives/1070941.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息