近日,网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档(文件名为" 05-2022-0438.doc ")。这个文档使用远程模板特性获取HTML,然后使用“ms-msdt”方案执行PowerShell代码。
随后,知名网络安全专家Kevin Beaumont发表了对该漏洞的分析。“该文档使用 Word远程模板功能从远程网络服务器检索HTML文件,该服务器又使用ms-msdt MSProtocol URI方案加载一些代码并执行一些 PowerShell”,在他的分析中这样写道,“这里发生的一些事情比较复杂,而首当其冲的问题是即使禁用了宏,Microsoft Word 也会通过msdt(一种支持工具)执行代码。受保护的视图确实起了作用,可尽管如果您将文档更改为RTF形式,它甚至无需打开文档,仅通过资源管理器中的预览选项卡即可运行,更不用说受保护的视图了。”
据了解,该零日漏洞会影响多个Microsoft Office版本,包括Office、Office2016和Office 2021。
参考来源
https://securityaffairs.co/wordpress/131800/hacking/multiple-microsoft-office-versions-zero-day.html