利用Office 文件嵌入的链接OLE对象下载恶意软件 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2022-06-04

这是当下这几天在网络安全领域新的热门话题。发现我们论坛好像没有人讨论这个这几天突发的热门问题。那我来简单写一些吧。现在CVE已经分配编号CVE-2022-30190来追踪这个问题。事件被命名为 "Follina"。因为利用Office的嵌入式OLE对象来实现的，有人报了微软0day，但是微软认为office 有一个什么protect view可以防止攻击，所以不认为这是0day漏洞。现在算不算承认了，也不好说。（本人看完详细介绍说明之后，也认为这应该不算漏洞，可以说是一个bug或者功能被滥用了）这个攻击方式已经被发现正在被利用来传播恶意软件。我测试了几个类似的样本，打开就下载执行，没有任何安全提示信息。以下是一个我找的Word的例子，里面有定义远程OLE对象（蓝色下划线的就是恶意URL，现在已经失效了）。

Word打开后，会自动访问这个URL，下载的内容是html带有恶意的脚本。最终脚本会调用 ms-msdt协议（Microsoft Windows Support Diagnostic Tool (MSDT) ）来执行恶意的动作。以下是一个例子：

之后msdt.exe会启动起来执行下载恶意软件并执行。=====================================微软已经会出一个补丁修复这个问题。大家记得补丁。因为这个攻击再被大量利用。打开Office文件就会触发没有任何提示。如果不想打补丁，微软也提供的临时解决方案: 就是先禁止ms-msdt协议。 1. 管理员权限打开命令行。 2. 首先备份要修改的注册表项，防止有问题的时候好恢复。执行 "reg export HKEY_CLASSES_ROOTms-msdt ms-msdt.reg"。 3. 最后执行命令去删除 ms-msdt协议。 "reg delete HKEY_CLASSES_ROOTms-msdt /f"

这个不比熟悉的VBA/宏，打开的时候会有安全警告的提示 (默认的选项)。而这个新的一旦打开word， excel或者powerpoint文件的就开始执行了。你有可能就中了勒索病毒，远程控制木马等等。这几天国外安全网站全是这个。