你能對 Follina 做什麼？

Microsoft Office 零時差漏洞被濫用以執行 PowerShell

2022 年 5 月 27 日，Nao_Sec （1） 發現了 Microsoft Office 中的零時差遠端代碼執行錯誤，並被研究員 Kevin Beaumont 稱為“Follina”。此漏洞使未經身份驗證的人員能夠透過利用下載的 Microsoft Office 檔獲得持久存取許可權並遠端控制目標系統。駭客可以使用它來透過 Microsoft 診斷工具 （MSDT） 執行惡意 PowerShell 命令，即使禁用了 Office 巨集也是如此。

“該檔案使用 Word 遠端範本功能從遠端 Web 伺服器搜尋 HTML 檔，而遠端 Web 伺服器又使用 ms-msdt MSProtocol URI 方案來載入一些代碼並執行一些 PowerShell，”研究員 Kevin Beaumont 解釋說。“那應該是不可能的。”(2)

2022 年 5 月 30 日，Microsoft 發佈了 CVE-2022-30190。Microsoft Office 版本 2013、2016、2019 和 2021 以及專業增強版會受到影響。但是，截至 2022 年 6 月 1 日，沒有可用的補丁。

在這篇博文中，我們分析了惡意軟體樣本，並向您展示了如何保護自己免受攻擊。

濫用 CVE-2022-30190 的攻擊概述

透過分析樣本，我們發現這種攻擊方法並不新鮮。威脅作者使用了與 2021 年 9 月 利用 CVE-2021-40444 的活動 類似的攻擊媒介。這兩次攻擊都使用了關係檔案中的外部連結，導致惡意 HTML 檔。

使用網路釣魚或社會工程，網路犯罪分子向目標受害者提供了武器化的 Microsoft Word 檔 （.docx） 並誘騙他們打開它。該檔案包含引用 HTML 的外部 URL，該 URL 具有不尋常的 JavaScript 代碼。

該 JavaScript 引用具有 ms-msdt： 方案的 URL，該方案可以執行遠程代碼。 

如何防止攻擊

2022 年 5 月 30 日，微軟發布了關於解決方法的指引，以協助使用者減輕此新曝光漏洞的影響 (3)。目前，停用 MSDT URL 協定似乎是最簡單的解決方案。然而，停用 MSDT URL 協定可能造成的影響尚不明確。

不過，如果您正在使用 OPSWAT MetaDefender 並搭載我們業界領先的Deep CDR™ 技術（內容解除武裝與重建），您便無需擔心上述問題。 由於 Deep CDR™ 技術會在有害檔案中的所有活躍內容傳遞至使用者之前便予以停用，因此您的網路和使用者都能免受攻擊威脅。

以下我們將示範 Deep CDR™ 技術如何處理惡意檔案，並為您的使用者生成安全無虞的檔案，無論該檔案是上傳至您的網路應用程式，還是作為電子郵件附件接收。

中和有毒的 Microsoft Word 檔

一旦含有惡意網址的 .docx 檔案透過電子郵件、檔案上傳等方式進入貴組織的網路MetaDefender 利用OPSWAT 搭配多重反惡意軟體引擎對其MetaDefender ，並檢查檔案中是否存在潛在威脅，例如 OLE 物件、超連結、腳本等。接著，所有嵌入的威脅將根據 Deep CDR™ 技術的設定，被移除或進行遞迴式淨化。 如我們的檔案處理結果所示，一個 OLE 物件已被移除，且 XML 內容已進行清理。

完成此過程後，.docx 檔案不再包含惡意 HTML 連結，因為它已替換為“空白”連結。因此，即使內部使用者打開該檔案，也不會載入和執行惡意軟體。

使用OPSWAT 和MetaDefender 掃描處理後釋出的已清理檔案，我們可以確認該文件已無安全風險。

停用 HTML 檔的 JavaScript

即使您將 Deep CDR™ 技術引擎設定為接受檔案中的 URL，系統仍能提供全面保護。Deep CDR™ 技術會移除載入的 HTML 檔案中的惡意 JavaScript，因為該程式碼被視為潛在威脅。一旦移除 JavaScript，PowerShell 程式碼便無法被下載並執行。您的使用者可以開啟並使用經過重建、已消除威脅的檔案，且功能完全不受影響。

不要依賴檢測

這種新的攻擊手法難以被偵測，因為惡意軟體是從遠端範本載入的，因此 .docx 檔案由於不包含惡意程式碼，便能繞過網路防禦機制 (2)。同樣地，網路犯罪分子持續積極利用漏洞，並濫用各種攻擊途徑，藉助 Microsoft Office 程式及其功能（例如巨集、外部連結、OLE 物件等）來傳遞或觸發惡意軟體。 若要真正實現零信任架構，您不能僅依賴「偵測即防護」的安全模型來防範零日攻擊。企業需要一套全面的威脅防禦解決方案，才能同時抵禦已知與未知的惡意軟體。

Deep CDR™ 技術是一項創新且有效的解決方案，能有效對抗先進的隱蔽型惡意軟體與零日攻擊。它透過解除所有可疑可執行元件的活性，在最早階段阻斷攻擊，同時提供 100% 無威脅、安全無虞的檔案供使用者存取。

深入了解Deep CDR™ 技術。若想瞭解我們如何協助您的組織全面防禦武器化文件，請立即聯繫OPSWAT 。

參考

[1] https://twitter.com/nao_sec/status/1530196847679401984

[2] https://medium.com/m/global-identity?redirectUrl=https%3A%2F%2Fdoublepulsar.com%2Ffollina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

[3] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/