【原创】利用Office 文件嵌入的链接OLE对象下载恶意软件
这是当下这几天在网络安全领域新的热门话题。发现我们论坛好像没有人讨论这个这几天突发的热门问题。那我来简单写一些吧。
现在CVE已经分配编号CVE-2022-30190来追踪这个问题。事件被命名为 "Follina"。
因为利用Office的嵌入式OLE对象来实现的,有人报了微软0day,但是微软认为office 有一个什么protect view可以防止攻击,所以不认为这是0day漏洞。 现在算不算承认了,也不好说。
(本人看完详细介绍说明之后,也认为这应该不算漏洞,可以说是一个bug或者功能被滥用了)
这个攻击方式已经被发现正在被利用来传播恶意软件。
我测试了几个类似的样本,打开就下载执行,没有任何安全提示信息。
以下是一个我找的Word的例子,里面有定义远程OLE对象 (蓝色下划线的就是 恶意URL,现在已经失效了)。
https://i.postimg.cc/2j0YL7Z2/Untitled.png
Word打开后,会自动访问这个URL,下载的内容是html带有恶意的脚本。
最终脚本会调用 ms-msdt协议(Microsoft Windows Support Diagnostic Tool (MSDT) )来执行恶意的动作。以下是一个例子:
https://i.niupic.com/images/2022/06/02/a0dz.png
之后msdt.exe会启动起来执行下载恶意软件并执行。
=====================================
微软已经会出一个补丁修复这个问题。大家记得补丁。 因为这个攻击再被大量利用。打开Office文件就会触发 没有任何提示。
如果不想打补丁,微软也提供的临时解决方案:就是先禁止ms-msdt协议。
1. 管理员权限打开命令行。
2. 首先备份要修改的注册表项,防止有问题的时候好恢复。执行 "reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg"。
3. 最后执行命令去删除 ms-msdt协议。 "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
这个不比熟悉的VBA/宏,打开的时候会有安全警告的提示 (默认的选项)。 而这个新的一旦打开word, excel或者powerpoint文件的就开始执行了。
你有可能就中了勒索病毒,远程控制木马 等等。
这几天国外安全网站全是这个。大家要警惕啊!!!
mykvbps 发表于 2022-6-4 08:15
请教下:命令在 win10 的 cmd 中可以运行,但在 win7 中却提示 ”系统找不到指定的注册表项或值“。
看 ...
我刚才找了找,确实很少明确说 Win7上怎么删的。因为我手头也没有win7,以下的步骤你可以试试看(前提是你要熟悉注册表编辑器,并且备份一下注册表再操作):
1>打开注册表编辑器 regedit.exe.
(以下子键和它下面的值有可能会不存在,那就需要你去手动创建)
2> 定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
3> 在上面子键下面,创建新的值 (dword),名称 "EnableDiagnostics",并且设定值为0.像下面这样类似
https://www.ghacks.net/wp-content/uploads/2022/06/scripteddiagnostics-windows.webp
mykvbps 发表于 2022-6-4 08:15
请教下:命令在 win10 的 cmd 中可以运行,但在 win7 中却提示 ”系统找不到指定的注册表项或值“。
看 ...
还有一个办法 就是把有问题的那个可执行文件 "c:\windows\system32\msdt.exe", 改名字 或者设定特殊的权限 不允许它执行。 我看到有文章这样说,但是没有详细信息,我自己在win10上试着做的时候没有成功。 你可以按着个思路去搜索一下看看,怎么修改windows目录下的文件名或者关闭执行权限。
感谢分享office 感谢楼主!运行一下"reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 就行?
楼主辛苦了。谢谢分享! l441669899 发表于 2022-6-2 07:58
感谢楼主!运行一下"reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 就行?
是的这样就相当于把ms-msdt协议给删除了攻击链就断了! 什么时候能看懂说的是什么就厉害了 只适应word好不好 感谢分享,楼主辛苦了。{:1_893:} 新的热门话题 公司只用wps,哎