研究人员发现Office新零日漏洞：可绕过Microsoft Defender检测

来源：蓝点网 作者：山外的研究鸭子哥 时间：2022-05-31 11:42:23

研究人员无意中发现Microsoft Office中有一个漏洞在野外遭到黑客利用，该漏洞通过MSDT微软诊断工具(Microsoft Diagnostic Tool)触发，人员日漏绕过只需要受害者打开Word即可。发现

说起来这枚漏洞的新零发现过程也是挺有趣的，研究人员@nao_sec在VirusTotal恶意软件扫描平台发现一个由白俄罗斯IP地址提交的研究Word文档，原本研究人员是人员日漏绕过想找CVE-2021-40444漏洞的利用，但没想到却找到了个利用MSDT的发现新漏洞。

该漏洞已经在野外遭到黑客的新零利用因此算是零日漏洞，目前该漏洞尚未分配CVE编号，研究研究人员在4月发现漏洞后已经通报给微软，人员日漏绕过接下来要等待微软处理。发现

研究人员利用rft成功实现零点击利用

利用MSDT的新零Follina漏洞：

目前研究人员将该漏洞暂时命名为Follina，研发发现在没有提升权限的研究情况下就可以绕过Microsoft Defender检测，并且也不需要启用Office宏功能来执行二进制文件或脚本。人员日漏绕过

事实上黑客利用Word的发现外部链接功能加载HTML，然后使用MSDT方案执行PowerShell代码，脚本从某个已经被移除的WinRAR文件中获取内容，只不过这个文件被移除了所以没法验证到底有哪些恶意活动。

唯一的好消息是Office受保护视图功能可以自动弹出不安全位置的文件，即Office文件如果是从网上下载的，默认情况下受保护视图都会弹出提醒，但如果用户手动点击确认那就另当别论了。

另外如果攻击者直接将doc改成写字板格式rtf则可以绕过受保护视图功能，甚至可以在资源管理器的预览里直接触发漏洞都不需要用户打开文档。

研究人员已经可以复现漏洞：

@nao_sec在安全圈共享恶意文档后，其他研究人员也火速跟进分析，目前已经有研究人员可以在多个版本的Office上复现漏洞。

测试受影响的包括Office 2013、Office 2016、Office 2021，其他版本尚未测试因此不知道是否也受影响。

网络安全公司Huntress的研究人员在分析其工作原理时发现更多技术细节，他们发现黑客设置的动态HTML文档来自 xmlformats.com 域名，这个域名目前已经无法加载。

该安全公司也证实如果将文档后缀改成rtf格式后无需受害者进行任何交互就可以触发漏洞，也就是零点击利用。

而且这种加载方式还不太容易被检测，因为恶意代码是远程加载的，因此在doc或者rtf被下载时实际上不包含恶意代码，自然也不会触发警报。

分享：

文章标签： Windows 微软公司

相关推荐

• 2023 年京东史上最强 618来袭

  在今日举行的 2023 年京东 618 商家大会上，京东宣布今年 618 恰逢京东创业 20 周年，同时也将是史上助力商家增长投入最多、举措最强的 618。

  2023-04-20
• 安全研究专家报告Google Home严重漏洞获107500 美元赏金

  12 月 30 日消息，安全研究专家马特・昆茨（Matt Kunze）去年向谷歌报告了 Google Home 的严重漏洞，近期获得了谷歌 107500 美元（约 74.9 万元人民币）的高额赏金。

  谷歌 2022-12-30
• 一加10 Pro和OPPO Find X5 Pro开放升级基于Android13的ColorOS13

  ColorOS 官方今日宣布，OPPO Find X5 和 Find X5 Pro 现已开启 ColorOS 13.0 × Android 13 正式版升级，同时一加 10 Pro 5G 也已开启 ColorOS 13.0 × Android 13 正式版升级。

  OPPO 一加手机 ColorOS 2022-09-23
• 苹果为 Apple Watch Ultra 发布 watchOS 9.0.1 系统

  苹果今天发布了watchOS 9.0.1，这是对9月首次亮相的watchOS 9操作系统的微小更新。watchOS 9.0.1可用于Apple Watch Ultra，对于即将收到‌Apple Watch Ultra‌的用户来说，这将是第一天的更新。

  苹果 Apple Watch 2022-09-23
• 苹果推送iOS 16.0.2正式版：修复多个BUG

  9月23日消息：在iOS 16发布后，预装搭载的IPhone 14系列出现了多个问题，例如第三方应用的相机抖动、复制粘贴时频繁请求用户批准的弹窗等。在今日凌晨，苹果推送了iOS 16.0.2正式版更新，内部版本号20A380，这些问题都已修复。

  苹果 iOS 16 2022-09-23

本周热门

• 1微软推出wsl –install快速安装指令，简化安装，只需一条命令即可安装 2021/07/31
• 2Windows 10 默认关闭TLS 1.0/1.1协议 2022/09/16
• 3王者荣耀升级防沉迷措施：限制未成年游戏时间、氪金上限 2021/09/01
• 4笔记本CPU莫名锁频率0.39GHz？可能是过热和快速启动问题 2022/07/19
• 5人工智能技术在网络安全中的作用 2020/07/01
• 6iOS 微信发布 8.0.24 测试版 2022/06/10
• 75G时代新短信到来，如何避免垃圾短信穿上新马甲？ 2020/04/17
• 8安卓 11 来了：realme X50 Pro 5G 推送 realme UI 2.0 正式版 2020/12/31

本月热门

• 1微软推出wsl –install快速安装指令，简化安装，只需一条命令即可安装 2021/07/31
• 2笔记本CPU莫名锁频率0.39GHz？可能是过热和快速启动问题 2022/07/19
• 3中通开通默认隐私面单服务：隐藏寄件人/收件人电话号码 2021/12/10
• 4Microsoft Edge 弹窗要求定期导入其他浏览器数据 2022/02/24
• 5Windows 10 默认关闭TLS 1.0/1.1协议 2022/09/16
• 6Windows Server 2012 R2/2019/2022受累积更新影响，出现严重问题 2022/01/14
• 7QQ账号需“绑定手机号”才能继续使用 2021/08/16
• 82023 年京东史上最强 618来袭 2023/04/20

科技 安全 论坛 卡饭教程 手机版

Copyright2014-2020© 卡饭网  沪ICP备2020031077号-2

卡饭网提供的所有的资源均来自互联网，如有内容侵犯您的版权或其他利益，请及时向我们提出删除。联系邮箱：kf2020@kafan.cn

(责任编辑：百科)