2022 年 5 月 27 日,独立安全研究小组 nao_sec 分享了一个 VirusTotal 链接,其中包含一个武器化的 Microsoft Office 文档,该文档揭示了 Microsoft 支持诊断工具 (MSDT) 中一个以前未知的漏洞。 此漏洞最有可能通过网络钓鱼诱饵附件被利用,并在打开文档时触发。读者应预计此漏洞会被各种威胁所采用,并意识到它可以执行任意代码,如 Microsoft 的披露中所述。
总结
读者可能回忆起,模板注入是一种已建立的技术,使攻击者能够在相关应用程序打开文档时远程加载恶意内容。 此漏洞(被称为“Follina”)与模板注入协同工作,尤其是在远程模板使用 ms-msdt URI 处理程序时。 重要的是,它不需要启用宏。 与其他模板注入案例一样,读者应该意识到远程对象可能被严重混淆。
安全团队应监视 msdt.exe 作为 WINWORD.exe 和其他应用程序的子进程,特别注意该子进程的命令行参数和网络活动。安全团队还可以考虑监视所有 MS Office 应用程序及其后代的网络活动,作为通过武器化文档通用识别初始利用尝试的一种方式。
Elastic 正在部署新的恶意软件签名,以识别 ms-msdt URI 的使用。此签名将通过 Elastic Endpoint 分发。 该团队还发布了对 “可疑的 MS Office 子进程” 规则的更新,该规则可通过 检测规则存储库获得,将 “msdt.exe” 添加到可疑后代列表中,并将 “Outlook.exe” 添加到相关父进程列表中。 以下查询与 Elastic Endgame 有关
Network where process_name == “msdt.exe” and
descendant of [process where process_name == “winword.exe” ]
| unique process_name, command_line参考
一些组织发布了与此漏洞相关的信息和资源(非详尽列表)
- Microsoft 的指导,概述了禁用 MSDT URL 协议的一种方法
- Huntress 提供了他们对该漏洞的分析,其中包含有关 ms-msdt 滥用的其他信息。Todyl 分享了一个与进程事件相关的Elastic 查询
Kevin Beaumont 提供了一份报告,其中包含有关潜在实施的历史记录和其他详细信息。