【原创】利用Office 文件嵌入的链接OLE对象下载恶意软件

tfrist

这是当下这几天在网络安全领域新的热门话题。

发现我们论坛好像没有人讨论这个这几天突发的热门问题。那我来简单写一些吧。

现在CVE已经分配编号CVE-2022-30190来追踪这个问题。事件被命名为 "Follina"。

因为利用Office的嵌入式OLE对象来实现的，有人报了微软0day，但是微软认为office 有一个什么protect view可以防止攻击，所以不认为这是0day漏洞。 现在算不算承认了，也不好说。
（本人看完详细介绍说明之后，也认为这应该不算漏洞，可以说是一个bug或者功能被滥用了）

这个攻击方式已经被发现正在被利用来传播恶意软件。
我测试了几个类似的样本，打开就下载执行，没有任何安全提示信息。
以下是一个我找的Word的例子，里面有定义远程OLE对象 （蓝色下划线的就是 恶意URL，现在已经失效了）。



Word打开后，会自动访问这个URL，下载的内容是html带有恶意的脚本。
最终脚本会调用 ms-msdt协议（Microsoft Windows Support Diagnostic Tool (MSDT) ）来执行恶意的动作。以下是一个例子：





之后msdt.exe会启动起来执行下载恶意软件并执行。



=====================================
微软已经会出一个补丁修复这个问题。大家记得补丁。 因为这个攻击再被大量利用。打开Office文件就会触发 没有任何提示。

如果不想打补丁，微软也提供的临时解决方案:  就是先禁止ms-msdt协议。

    1. 管理员权限打开命令行。
   2. 首先备份要修改的注册表项，防止有问题的时候好恢复。执行 "reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg"。
   3. 最后执行命令去删除 ms-msdt协议。 "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"

这个不比熟悉的VBA/宏，打开的时候会有安全警告的提示 (默认的选项)。 而这个新的一旦打开word， excel或者powerpoint文件的就开始执行了。 你有可能就中了勒索病毒，远程控制木马 等等。 这几天国外安全网站全是这个。大家要警惕啊！！！

tfrist

mykvbps 发表于 2022-6-4 08:15
请教下：命令在 win10 的 cmd 中可以运行，但在 win7 中却提示 ”系统找不到指定的注册表项或值“。

看 ...

我刚才找了找，确实很少明确说 Win7上怎么删的。因为我手头也没有win7，以下的步骤你可以试试看（前提是你要熟悉注册表编辑器，并且备份一下注册表再操作）：

1>打开注册表编辑器 regedit.exe.   

(以下子键和它下面的值有可能会不存在，那就需要你去手动创建)
2> 定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
3> 在上面子键下面，创建新的值 （dword)，名称 "EnableDiagnostics",并且设定值为0.  像下面这样类似

tfrist

mykvbps 发表于 2022-6-4 08:15
请教下：命令在 win10 的 cmd 中可以运行，但在 win7 中却提示 ”系统找不到指定的注册表项或值“。

看 ...

还有一个办法 就是把有问题的那个可执行文件 "c:\windows\system32\msdt.exe", 改名字 或者设定特殊的权限 不允许它执行。 我看到有文章这样说，但是没有详细信息，我自己在win10上试着做的时候没有成功。 你可以按着个思路去搜索一下看看，怎么修改windows目录下的文件名或者关闭执行权限。

WY1234

感谢分享office

l441669899

感谢楼主！运行一下  "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 就行？

iawyxkdn8

楼主辛苦了。谢谢分享！

tfrist

l441669899 发表于 2022-6-2 07:58
感谢楼主！运行一下  "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" 就行？

是的  这样就相当于把  ms-msdt协议给删除了  攻击链就断了！

jxj7823

什么时候能看懂说的是什么就厉害了

shaokui123

只适应word好不好

ilpj

感谢分享，楼主辛苦了。

kokoi1

新的热门话题

lnshijia

公司只用wps，哎