MicrosoftOffice中的一个零日漏洞正在被广泛利用,虽然目前还没有补丁,但软件巨头已经发布了一种解决方法来防止攻击。该漏洞CVE-2022-30190于周五首次曝光,由独立安全研究组织Nao_sec提供。Nao_sec在Twitter上报告说,他们在VirusTotal中发现了一个由白俄罗斯用户上传的恶意文档,该文档引用了Microsoft支持诊断工具(MSDT)。“它使用指向Word的外部链接加载HTML,然后使用‘ms-msdt’方案执行PowerShell代码,”Nao_sec发推文说。周末,其他安全研究人员检查了该文档并确认存在Microsoft零日漏洞,该漏洞早前已被利用。独立安全研究员KevinBeaumont周日发表了一篇关于该漏洞的博客文章,他将其命名为“Follina”,并指出在4月份将更多的野外攻击样本上传到了VirusTotal。这个有趣的恶意文件是从白俄罗斯提交的。它使用来自Word的外部链接加载HTML,然后使用“ms-msdt”方案执行PowerShell代码。根据Beaumont的说法,即使禁用了宏,该漏洞也允许MicrosoftWord文档通过MSDT执行代码。其他样本包括似乎与工作面试有关的俄语文件。托管威胁检测供应商HuntressLabs周日发布了一份威胁报告,称Microsoft零日漏洞是一种“新颖的初始访问技术”,只需单击一次或更少即可执行。Huntress的高级安全研究员JohnHammond写道:“这对攻击者来说是一种诱人的攻击,因为它隐藏在MicrosoftWord文档中,没有宏来触发用户熟悉的警告标志——但具有运行远程托管代码的能力。”微软确认MSDT漏洞微软安全响应中心(MSRC)周日确认了MSDT漏洞的存在,尽管这家软件巨头并未将远程代码执行漏洞描述为零日漏洞,也未确认其在真实环境中实施.利用活动。但是,Microsoft针对CVE-2022-30190的安全公告指出已检测到漏洞。MSRC帖子提供了防止漏洞利用的解决方法,包括禁用MSDTURL协议。微软还表示,ApplicationGuardforOffice将阻止针对CVE-2022-30190的攻击,并在ProtectedView中打开恶意文档。Microsoft将MSDT漏洞的发现归功于匿名安全研究员“Crazyman”,他是威胁搜寻组织ShadowChaserGroup的成员。Beaumont在他的博文中指出,Crazyman于4月12日首次报告了CVE-2022-30190威胁活动。根据Crazyman的推文,微软于4月21日做出回应,并告知研究人员这“不是与安全相关的问题”。目前还不清楚为什么错误提交最初被拒绝。截至发稿时,微软没有回应置评请求。更新Microsoft没有直接回答有关该漏洞利用的问题,也没有回答MSRC帖子为何未将该漏洞确定为零日漏洞的问题。“为了帮助保护客户,我们在这里发布了CVE-2022-30190和其他指南,”微软援引MSRC帖子和漏洞公告说。微软没有回应有关Crazyman最初的漏洞报告及其拒绝的问题;微软发言人表示,目前没有更多信息可以分享。
