有研究人员在微软 Office 中发现一个 0 day 安全漏洞 ——Follina,漏洞 CVE 编号为 CVE-2022-30190。
微软已确认该漏洞存在于 Windows 上的微软支持诊断工具(Microsoft Support Diagnostic Tool)中,当 MSDT 使用 Word 等应用从 URL 协议调用时便会触发漏洞。
禁用 MSDT URL 协议的方法:
以管理员身份打开命令提示符 CMD。
备份注册表项,执行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename
执行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f
撤销:
以管理员身份运行命令提示符。
要恢复注册表项,请执行命令“reg import filename”
安全研究人员 nao_sec 上个月意外发现一个位于 Belarus 的 IP 地址向 Virus Total 提交的恶意 Word 文档,该文件滥用了微软的 MSDT(ms-msdt)技术。他使用外部链接来加载 HTML,然后使用 ms-msdt 方案来执行 PowerShell 代码。
Kevin Beaumont 发现,这是一个微软 Word 使用 MSDT 执行的命令行字符串,即使在宏脚本被禁用的情况下也可以执行。目前已知受该漏洞影响的版本有 Office 2013、2016、Office Pro Plus 和 Office 2021 等。
由 dawei
【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。