Follina — Microsoft Office 代码执行漏洞

admin

142241
文章

117
评论

2025年2月12日23:59:33评论22 views字数 778阅读2分35秒阅读模式

本地复现成功

Follina — Microsoft Office 代码执行漏洞

样本在这里

https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb

使用 Word 远程模板功能从远程 Web 服务器检索 HTML 文件，该服务器又使用 ms-msdt MSProtocol URI 方案加载代码并执行一些 PowerShell。

即使禁用宏，Microsoft Word 也会通过 msdt执行代码。如果您将文档更改为 RTF 形式，它甚至无需打开文档（通过资源管理器中的预览选项卡）即可运行

当前，本地管理员，完全禁用宏，使用 Defender，使用 Office 365 ，在打开 Word 文档时随便弹出 calc。

建议：删除ms-msdt URI 注册表项

或禁止office应用生成子进程

自动生成工具也出来了

https://github.com/chvancooten/follina.py

参考：

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://gist.github.com/kevthehermit/5c8d52af388989cfa0ea38feace977f2

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes

原文始发于微信公众号（关注安全技术）：Follina — Microsoft Office 代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Follina — Microsoft Office 代码执行漏洞

XWiki 远程代码执行漏洞｜CVE-2025-24893

【原创漏洞】Vite任意文件读取漏洞

Langflow code代码执行漏洞（CVE-2025-3248）

CVE-2025-30208&31125：Vite任意文件读取漏洞

Next.js 中的严重漏洞可让黑客绕过授权

Google Chrome沙箱逃逸漏洞

Vite 任意文件访问漏洞(CVE-2025-32395)

DedeCMS V110最新版RCE-Tricks

Jenkins Docker 镜像中存在漏洞 (CVE-2025-32754, CVE-2025-32755)

YesWiki 任意文件读取漏洞（CVE-2025-31131）

发表评论

在线咨询

微信