本地复现成功
样本在这里
https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb
使用 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,该服务器又使用 ms-msdt MSProtocol URI 方案加载代码并执行一些 PowerShell。
即使禁用宏,Microsoft Word 也会通过 msdt执行代码。如果您将文档更改为 RTF 形式,它甚至无需打开文档(通过资源管理器中的预览选项卡)即可运行
当前,本地管理员,完全禁用宏,使用 Defender,使用 Office 365 ,在打开 Word 文档时随便弹出 calc。
建议:删除ms-msdt URI 注册表项
或禁止office应用生成子进程
自动生成工具也出来了
https://github.com/chvancooten/follina.py
参考:
https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
https://gist.github.com/kevthehermit/5c8d52af388989cfa0ea38feace977f2
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes