Microsoft Office中的一個(gè)零日漏洞正在被廣泛利用，雖然還沒(méi)有補(bǔ)丁，但這家軟件巨頭已經(jīng)發(fā)布了解決方法來(lái)防止攻擊。

該漏洞CVE-2022-30190于周五首次曝光，由獨(dú)立的安全研究小組Nao_sec提供。Nao_sec在Twitter上報(bào)告說(shuō)，他們?cè)赩irusTotal中發(fā)現(xiàn)了一個(gè)由白俄羅斯用戶上傳的惡意文檔，該文檔引用了Microsoft Support Diagnostic Tool (MSDT)。

Nao_sec在推文中說(shuō)：“它使用Word的外部鏈接加載HTML，然后使用“ms-msdt”方案執(zhí)行PowerShell代碼?！?/span>

上周末，其他安全研究人員檢查了該文檔，并確認(rèn)微軟零日漏洞的存在，該漏洞早先已被利用。獨(dú)立安全研究員Kevin Beaumont周日發(fā)表了一篇關(guān)于該漏洞的博客文章，他將其稱為“Follina”，并指出額外的野外利用樣本已于4月上傳到VirusTotal。

這個(gè)有趣的惡意文檔從白俄羅斯提交。它使用 Word 的外部鏈接加載 HTML，然后使用“ms-msdt”方案執(zhí)行PowerShell代碼。

根據(jù)Beaumont的說(shuō)法，即使宏被禁用，該漏洞也允許Microsoft Word文檔通過(guò)MSDT執(zhí)行代碼。額外的樣本包括似乎與工作面試有關(guān)的俄語(yǔ)文件。

托管威脅檢測(cè)供應(yīng)商Huntress Labs上周日發(fā)布了一份威脅報(bào)告，稱微軟零日是一種“新穎的初始訪問(wèn)技術(shù)”，只需單擊一次或更少即可執(zhí)行。Huntress的高級(jí)安全研究員John Hammond寫(xiě)道：“這對(duì)攻擊者來(lái)說(shuō)是一種誘人的攻擊，因?yàn)樗[藏在沒(méi)有宏的Microsoft Word文檔中，以觸發(fā)用戶熟悉的警告信號(hào)-但具有運(yùn)行遠(yuǎn)程托管代碼的能力?！?

微軟確認(rèn)MSDT漏洞

微軟安全響應(yīng)中心 (MSRC) 上周日證實(shí)了MSDT漏洞的存在，盡管這家軟件巨頭并未將該遠(yuǎn)程代碼執(zhí)行漏洞描述為零日漏洞或確認(rèn)在實(shí)際環(huán)境進(jìn)行的利用活動(dòng)。但是，微軟針對(duì)CVE-2022-30190的安全公告指出，已檢測(cè)到漏洞利用。

MSRC帖子提供了防止漏洞利用的變通方法，包括禁用MSDT URL協(xié)議。微軟還表示，Application Guard for Office將阻止對(duì)CVE-2022-30190的攻擊，并在受保護(hù)的視圖中打開(kāi)惡意文檔。

微軟將發(fā)現(xiàn)MSDT漏洞的功勞歸于匿名安全研究員“Crazyman”，他是威脅追蹤小組Shadow Chaser Group的成員。

Beaumont在他的博客文章中指出，Crazyman于4月12日首次報(bào)告了CVE-2022-30190的威脅活動(dòng)。根據(jù)Crazyman的推文，微軟于4月21日做出回應(yīng)，并告知研究人員這“不是安全相關(guān)問(wèn)題”。

目前尚不清楚漏洞提交最初被拒絕的原因。

截至發(fā)稿時(shí)，微軟沒(méi)有回應(yīng)置評(píng)請(qǐng)求。

更新

微軟沒(méi)有直接回答有關(guān)漏洞利用的問(wèn)題，以及為什么MSRC帖子沒(méi)有將該漏洞標(biāo)識(shí)為零日漏洞。

微軟援引MSRC帖子和漏洞公告表示：“為了幫助保護(hù)客戶，我們?cè)诖颂幇l(fā)布了CVE-2022-30190和其他指南。”

微軟沒(méi)有回答有關(guān)Crazyman最初的漏洞報(bào)告及其遭拒絕的問(wèn)題；微軟發(fā)言人表示，該公司目前沒(méi)有更多可分享的信息。