5月27日,一名安全研究人员披露了一个恶意Word文档,该文档被防病毒产品检测到的几率低得惊人。该恶意文档使用Word中的一项功能从远程服务器检索HTML文件,而该HTML文件又使用MSDT加载代码并执行PowerShell命令。该漏洞被称为“Follina”。
Qualys威胁研究经理Mayuresh Dani表示:“这个新漏洞的独特之处在于,这次攻击中没有利用宏。”大多数恶意Word文档利用软件的宏功能来传递其恶意载荷。因此,普通的基于宏的扫描方法无法检测到Follina。攻击者需要做的就是引诱目标用户下载Word文档或查看嵌入恶意代码的HTML文件。”
5月30日星期一,微软公布该漏洞编号为CVE-2022-30190。最初的攻击仅限于Word,但最近,攻击面扩展到包括RTF和Outlook。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。
6月14日,微软发布了Windows更新以解决此漏洞,并建议尽快安装更新。
这是近期最关键的零日漏洞之一,使用了许多绕过技术,难以修复,并且很容易被利用。塞讯验证建议组织对此类漏洞保持警惕,塞讯安全实验室已收录该漏洞,帮助用户妥善应对可能出现的攻击。
目前,塞讯安全度量验证平台已经可以模拟针对此漏洞的攻击(包含相关的钓鱼邮件、恶意文件传输、C&C、恶意文件破坏性动作执行),我们的客户即可轻松验证其目前的安全防护手段或缓解措施是否可以有效检测与防御利用此漏洞的攻击。
| 参考来源:
https://www.seqrite.com/blog/cve-2022-30190-zero-day-vulnerability-follina-in-msdt-exploited-in-the-wild/