小心研究人员在野外发现了新的Microsoft Office零日漏洞

网络安全研究人员提请注意Microsoft Office中的一个零日漏洞，该漏洞可能被滥用以在受影响的Windows系统上执行任意代码。

该漏洞是在一个名为nao\u sec的独立网络安全研究团队发现一个Word文档（“05-2022-0438.doc”）后被曝光的，该文档是从白俄罗斯的一个IP地址上传到VirusTotal的。

研究人员上周在一系列推文中指出：“它使用Word的外部链接加载HTML，然后使用‘ms msdt’方案执行PowerShell代码。”

安全研究员凯文·博蒙特（KevinBeaumont）称该漏洞为“Follina”，maldoc利用Word的远程模板功能从服务器获取HTML文件，然后利用“ms-msdt://”URI方案运行恶意负载。

之所以这样命名缺陷，是因为恶意样本引用的是意大利特雷维索市福利纳市的区号0438。

MSDT是Microsoft Support Diagnostics Tool（Microsoft支持诊断工具）的缩写，该工具用于故障排除和收集诊断数据，供支持专业人员分析以解决问题。

Beaumont解释道：“这里发生了很多事情，但第一个问题是，即使宏被禁用，Microsoft Word也会通过msdt（一种支持工具）执行代码。”。

这位研究人员补充道：“受保护的视图确实起作用，但如果您将文档更改为RTF表单，它甚至不需要打开文档（通过浏览器中的预览选项卡）就可以运行，更不用说受保护的视图了。”

在一项独立分析中，网络安全公司Huntess Labs详细描述了攻击流程，注意到触发攻击的HTML文件（“RDF842l.HTML”）来自一个名为“xmlformats[.”的现在无法访问的域通用域名格式。"

亨特尔斯实验室的约翰·哈蒙德说：“一个富文本格式文件（.RTF）可以通过Windows资源管理器中的预览窗格触发对该漏洞的调用。”。“与CVE-2021-40444非常相似，这不仅通过“点击”攻击，而且可能通过“零点击”触发，扩展了这种威胁的严重性。”

据称，包括Office、Office 2016和Office 2021在内的多个Microsoft Office版本都受到了影响，但其他版本也可能存在漏洞。

此外，NCC Group的Richard Warren成功演示了Office Professional Pro上的漏洞，2022年4月的补丁程序运行在启用预览窗格的最新Windows 11计算机上。

Beaumont说：“微软需要在所有不同的产品中对其进行修补，安全供应商需要强大的检测和阻止。”。我们已经联系微软征求意见，一旦得到回复，我们将更新报道。