Microsoft Office中的一个零日漏洞正在被广泛利用,虽然还没有补丁,但这家软件巨头已经发布了解决方法来防止攻击。
该漏洞CVE-2022-30190于周五首次曝光,由独立的安全研究小组Nao_sec提供。Nao_sec在Twitter上报告说,他们在VirusTotal中发现了一个由白俄罗斯用户上传的恶意文档,该文档引用了Microsoft Support Diagnostic Tool (MSDT)。
Nao_sec在推文中说:“它使用Word的外部链接加载HTML,然后使用“ms-msdt”方案执行PowerShell代码。”
上周末,其他安全研究人员检查了该文档,并确认微软零日漏洞的存在,该漏洞早先已被利用。独立安全研究员Kevin Beaumont周日发表了一篇关于该漏洞的博客文章,他将其称为“Follina”,并指出额外的野外利用样本已于4月上传到VirusTotal。
这个有趣的恶意文档从白俄罗斯提交。它使用 Word 的外部链接加载 HTML,然后使用“ms-msdt”方案执行PowerShell代码。
根据Beaumont的说法,即使宏被禁用,该漏洞也允许Microsoft Word文档通过MSDT执行代码。额外的样本包括似乎与工作面试有关的俄语文件。
托管威胁检测供应商Huntress Labs周日发布了一份威胁报告,称微软零日是一种“新颖的初始访问技术”,只需单击一次或更少即可执行。Huntress的高级安全研究员John Hammond写道:“这对攻击者来说是一种诱人的攻击,因为它隐藏在没有宏的Microsoft Word文档中,以触发用户熟悉的警告信号-但具有运行远程托管代码的能力。”
微软确认MSDT漏洞
微软安全响应中心 (MSRC) 周日证实了MSDT漏洞的存在,尽管这家软件巨头并未将该远程代码执行漏洞描述为零日漏洞或确认在实际环境进行的利用活动。但是,微软针对CVE-2022-30190的安全公告指出,已检测到漏洞利用。
MSRC帖子提供了防止漏洞利用的变通方法,包括禁用MSDT URL协议。微软还表示,Application Guard for Office将阻止对CVE-2022-30190的攻击,并在受保护的视图中打开恶意文档。
微软将发现MSDT漏洞的功劳归于匿名安全研究员“Crazyman”,他是威胁追踪小组Shadow Chaser Group的成员。
Beaumont在他的博客文章中指出,Crazyman于4月12日首次报告了CVE-2022-30190的威胁活动。根据Crazyman的推文,微软于4月21日做出回应,并告知研究人员这“不是安全相关问题”。
目前尚不清楚漏洞提交最初被拒绝的原因。
截至发稿时,微软没有回应置评请求。
更新:微软没有直接回答有关漏洞利用的问题,以及为什么MSRC帖子没有将该漏洞标识为零日漏洞。
微软援引MSRC帖子和漏洞公告表示:“为了帮助保护客户,我们在此处发布了CVE-2022-30190和其他指南。”
微软没有回答有关Crazyman最初的漏洞报告及其遭拒绝的问题;微软发言人表示,该公司目前没有更多可分享的信息。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号

TechTarget
官方微博

TechTarget中国
作者
翻译
相关推荐
-
开始使用安全服务边缘的3个步骤
安全服务边缘(SSE)是一种保护数据、应用程序和设备的新方法,无论它们位于何处。 我们可以将SSE视为安全访问 […]
-
SANS研究所:人为错误仍然是首要安全问题
人为错误仍然是攻击者进行网络渗透和数据泄露的最有效途径。 SANS研究所安全中心周三发布了其年度安全意识报告, […]
-
RSA 2022大会的主要云安全看点
很高兴本月再次参加在旧金山举行的RSA会议。对于很多人来说,这是自RSA 2020以来的第一次面对面会议。与2 […]
-
CISA提醒安全错误配置和常见错误
最近发布的网络安全公告警告称,攻击者正在利用错误配置和薄弱的安全控制来获得对企业网络的初始访问权限。 美国网络 […]