-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18634小时
-
- 发帖786294
- 搜Ta的帖子
- 精华0
- 飞翔币209891
- 威望215717
- 飞扬币2613068
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786294
- 飞翔币
- 209891
- 威望
- 215717
- 飞扬币
- 2613068
- 信誉值
- 8
|
这是当下这几天在网络安全领域新的热门话题。发现我们论坛好像没有人讨论这个这几天突发的热门问题。那我来简单写一些吧。现在CVE已经分配编号CVE-2022-30190来追踪这个问题。事件被命名为 "Follina"。因为利用Office的嵌入式OLE对象来实现的,有人报了微软0day,但是微软认为office 有一个什么protect view可以防止攻击,所以不认为这是0day漏洞。 现在算不算承认了,也不好说。(本人看完详细介绍说明之后,也认为这应该不算漏洞,可以说是一个bug或者功能被滥用了)这个攻击方式已经被发现正在被利用来传播恶意软件。我测试了几个类似的样本,打开就下载执行,没有任何安全提示信息。以下是一个我找的Word的例子,里面有定义远程OLE对象 (蓝色下划线的就是 恶意URL,现在已经失效了)。 Word打开后,会自动访问这个URL,下载的内容是html带有恶意的脚本。最终脚本会调用 ms-msdt协议(Microsoft Windows Support Diagnostic Tool (MSDT) )来执行恶意的动作。以下是一个例子: 之后msdt.exe会启动起来执行下载恶意软件并执行。=====================================微软已经会出一个补丁修复这个问题。大家记得补丁。 因为这个攻击再被大量利用。打开Office文件就会触发 没有任何提示。如果不想打补丁,微软也提供的临时解决方案: 就是先禁止ms-msdt协议。 1. 管理员权限打开命令行。 2. 首先备份要修改的注册表项,防止有问题的时候好恢复。执行 "reg export HKEY_CLASSES_ROOTms-msdt ms-msdt.reg"。 3. 最后执行命令去删除 ms-msdt协议。 "reg delete HKEY_CLASSES_ROOTms-msdt /f"
|
