玄蜂安全团队研究人员发现Microsoft Office中有一个漏洞在野外遭到黑客利用,该漏洞通过MSDT微软诊断工具(Microsoft Diagnostic Tool)触发,只需要受害者打开Word即可
##漏洞描述
该漏洞主要影响微软Office(如Word)产品,攻击者可通过精心构造恶意文档,利用该文档在目标用户操作系统中执行恶意代码,目前暂未发现存在修复补丁,且该漏洞的利用方式已公开,以下为公开的漏洞利用:
##漏洞利用
测试环境为Windows10,部署有Office2016和Office2007,均禁用宏执行,恶意文档后缀为docx,主要目的为打开文档弹一个计算器:
通过对公开的POC进行验证分析,目前只在Windows操作系统的Office2016及以下版本执行成功,经对该漏洞的进一步追踪,发现该漏洞可在Office2021最新修补补丁的版本上执行,如下图(来源网络视频)
##处置建议
由于该漏洞暂未发现修复补丁,建议不随意点击来历不明文档,如有条件可在单独的虚拟机中运行可疑文档,或者可使用以下命令寻找文件中是否存在可疑代码:
需要先将word文档后缀修改压缩文件后缀,如test.docx修改为test.zip,然后使用解压工具将test.zip进行解压,在其解压目录下打开CMD终端(确保CMD终端中的路径为解压路径),如需还原,只需要将test.zip修改为test.docx即可使用:
命令一:findstr /s /i /r “Type=\”http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleObject\”.*Target=\”mhtml:http” *.*
命令二:findstr /s /i /r “<o:LinkType>.*EnhancedMetaFile.*</o:LinkType>.*<o:LockedField>.*false.*</o:LockedField>.*<o:FieldCodes>.*\f 0.*</o:FieldCodes>” *.*
