Microsoft Office中的一个零日漏洞正在被广泛利用,虽然还没有补丁,但这家软件巨头已经发布了解决方法来防止攻击。
该漏洞CVE-2022-30190于周五首次曝光,由独立的安全研究小组Nao_sec提供。Nao_sec在Twitter上报告说,他们在VirusTotal中发现了一个由白俄罗斯用户上传的恶意文档,该文档引用了Microsoft Support Diagnostic Tool (MSDT)。
Nao_sec在推文中说:“它使用Word的外部链接加载HTML,然后使用“ms-msdt”方案执行PowerShell代码。”
上周末,其他安全研究人员检查了该文档,并确认微软零日漏洞的存在,该漏洞早先已被利用。独立安全研究员Kevin Beaumont周日发表了一篇关于该漏洞的博客文章,他将其称为“Follina”,并指出额外的野外利用样本已于4月上传到VirusTotal。
这个有趣的恶意文档从白俄罗斯提交。它使用 Word 的外部链接加载 HTML,然后使用“ms-msdt”方案执行PowerShell代码。
根据Beaumont的说法,即使宏被禁用,该漏洞也允许Microsoft Word文档通过MSDT执行代码。额外的样本包括似乎与工作面试有关的俄语文件。
托管威胁检测供应商Huntress Labs上周日发布了一份威胁报告,称微软零日是一种“新颖的初始访问技术”,只需单击一次或更少即可执行。Huntress的高级安全研究员John Hammond写道:“这对攻击者来说是一种诱人的攻击,因为它隐藏在没有宏的Microsoft Word文档中,以触发用户熟悉的警告信号-但具有运行远程托管代码的能力。”
微软确认MSDT漏洞
微软安全响应中心 (MSRC) 上周日证实了MSDT漏洞的存在,尽管这家软件巨头并未将该远程代码执行漏洞描述为零日漏洞或确认在实际环境进行的利用活动。但是,微软针对CVE-2022-30190的安全公告指出,已检测到漏洞利用。
MSRC帖子提供了防止漏洞利用的变通方法,包括禁用MSDT URL协议。微软还表示,Application Guard for Office将阻止对CVE-2022-30190的攻击,并在受保护的视图中打开恶意文档。
微软将发现MSDT漏洞的功劳归于匿名安全研究员“Crazyman”,他是威胁追踪小组Shadow Chaser Group的成员。
Beaumont在他的博客文章中指出,Crazyman于4月12日首次报告了CVE-2022-30190的威胁活动。根据Crazyman的推文,微软于4月21日做出回应,并告知研究人员这“不是安全相关问题”。
目前尚不清楚漏洞提交最初被拒绝的原因。
截至发稿时,微软没有回应置评请求。
更新
微软没有直接回答有关漏洞利用的问题,以及为什么MSRC帖子没有将该漏洞标识为零日漏洞。
微软援引MSRC帖子和漏洞公告表示:“为了帮助保护客户,我们在此处发布了CVE-2022-30190和其他指南。”
微软没有回答有关Crazyman最初的漏洞报告及其遭拒绝的问题;微软发言人表示,该公司目前没有更多可分享的信息。