Office 被曝 0 day 漏洞，微軟確認(rèn) Windows 支持診斷工具存在問題

IT之家 6 月 4 日消息，有研究人員在微軟 Office 中發(fā)現(xiàn)一個 0 day 安全漏洞 ——Follina，漏洞 CVE 編號為 CVE-2022-30190。

微軟已確認(rèn)該漏洞存在于 Windows 上的微軟支持診斷工具（Microsoft Support Diagnostic Tool）中，當(dāng) MSDT 使用 Word 等應(yīng)用從 URL 協(xié)議調(diào)用時便會觸發(fā)漏洞。

值得注意的是，這種混淆的代碼可以在不打開文檔的情況下運行，比如通過 IE 的預(yù)覽窗口。

攻擊者利用該漏洞可以以調(diào)用應(yīng)用的權(quán)限運行任意代碼，然后安裝應(yīng)用程序、查看、修改和刪除數(shù)據(jù)，甚至創(chuàng)建新的賬戶等。

IT之家了解到，這一漏洞似乎不局限于 Windows 的版本，只要系統(tǒng)安裝了 Microsoft 支持診斷工具就有可能會暴露出來。

微軟表示，用戶只需禁用 MSDT URL 協(xié)議即可避免此漏洞被利用，而且你仍然可以使用 Get Help 應(yīng)用程序和系統(tǒng)設(shè)置中的其他或其他故障排除程序訪問故障排除程序。此外，微軟還提示用戶將殺軟 Microsoft Defender 更新至最新版本（1.367.719.0），以檢測任何可能的漏洞利用。

禁用 MSDT URL 協(xié)議的方法：

• 以管理員身份打開命令提示符 CMD。

• 備份注冊表項，執(zhí)行命令 reg export HKEY_CLASSES_ROOT\ms-msdt filename

• 執(zhí)行命令 reg delete HKEY_CLASSES_ROOT\ms-msdt /f

撤銷：

• 以管理員身份運行命令提示符。

• 要恢復(fù)注冊表項，請執(zhí)行命令“reg import filename”

安全研究人員 nao_sec 上個月意外發(fā)現(xiàn)一個位于 Belarus 的 IP 地址向 Virus Total 提交的惡意 Word 文檔，該文件濫用了微軟的 MSDT（ms-msdt）技術(shù)。他使用外部鏈接來加載 HTML，然后使用 ms-msdt 方案來執(zhí)行 PowerShell 代碼。

Kevin Beaumont 發(fā)現(xiàn)，這是一個微軟 Word 使用 MSDT 執(zhí)行的命令行字符串，即使在宏腳本被禁用的情況下也可以執(zhí)行。目前已知受該漏洞影響的版本有 Office 2013、2016、Office Pro Plus 和 Office 2021 等。

實際上，研究人員早在 4 月就將該漏洞報告給了微軟，但微軟稱這并非是一個安全相關(guān)的問題，并且關(guān)閉了該漏洞報告，聲稱沒有遠(yuǎn)程代碼執(zhí)行的安全影響，但直到 5 月 30 日微軟才對該漏洞分配了 CVE 編號，雖然至今都沒有發(fā)布關(guān)于該漏洞的修復(fù)補丁。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。