Follina — Microsoft Office 代码执行漏洞
2022-5-30 22:31:8 Author: mp.weixin.qq.com(查看原文) 阅读量:292 收藏

本地复现成功

样本在这里

https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb

使用 Word 远程模板功能从远程 Web 服务器检索 HTML 文件,该服务器又使用 ms-msdt MSProtocol URI 方案加载代码并执行一些 PowerShell。

即使禁用宏,Microsoft Word 也会通过 msdt执行代码。如果您将文档更改为 RTF 形式,它甚至无需打开文档(通过资源管理器中的预览选项卡)即可运行

当前,本地管理员,完全禁用宏,使用 Defender,使用 Office 365 ,在打开 Word 文档时随便弹出 calc。

建议:删除ms-msdt URI 注册表项

或禁止office应用生成子进程

自动生成工具也出来了

https://github.com/chvancooten/follina.py

参考:

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://gist.github.com/kevthehermit/5c8d52af388989cfa0ea38feace977f2

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes


文章来源: http://mp.weixin.qq.com/s?__biz=MzA4MDMwMjQ3Mg==&mid=2651868136&idx=1&sn=5261ed6d101f8ebf3ebd20be1f5fe625&chksm=8442b30fb3353a19f02cebd49c9bb046f892409f55a0ee4ae2242c4d93e883c78dd351796a7b#rd
如有侵权请联系:admin#unsafe.sh